Catalog Cloud Computing
2018 / Ediţia a VIII-a
România
Ghid practic
GDPR
Catalog GDPR Ready
E timpul să luăm taurul de coarne! În precedentul Catalog GDPR am tot vorbit despre noul Regulament. De ce este atât de important. Pe cine afectează. Care sunt pericolele. Care sunt noutățile. Acum este timpul să facem un pas înainte și să îi dăm drumul la treabă. Nu există modele predefinite. Nici superspecialiști în domeniu. E greu să formezi un DPO într-o perioadă atât de scurtă. Toți cei care oferă acum asistență și consultanță vin din medii diferite, cu expertize diferite, dar extrem de puțini cu practică de GDPR. Fie că avem un DPO intern, fie apelăm la servicii externalizate, trebuie să demarăm proiectul GDPR. Important este să ne apucăm de treabă. Să luăm taurul de coarne. Prin „Ghidul de implementare GDPR” vrem să vă oferim câteva elemente despre activitățile concrete pe care trebuie să le abordăm, de la maparea proceselor de business și a datelor, la analizele de impact și de risc și adoptarea strategiei de protecție pe termen lung și crearea unei culturi GDPR la nivel de organizație. Aici nu există rețete predefinite. Implementarea GDPR nu este un simplu proiect de IT și nici o campanie de legalizare. Este un proiect complex, bazat pe un ansamblu de proceduri, procese și analize care ne ajută, pas cu pas, să deslușim natura și particularitățile fluxurilor de date, să ne raportăm la cerințele GDPR și să adoptăm politicile de protecție a datelor necesare. Desigur că un astfel de ghid nu poate aborda in extenso toate procedurile și nici nu ne propunem să oferim rețete. Ghidul prezintă esența proceselor absolut necesare într-un proiect de implementare, care indiferent de ordinea abordării trebuie făcute. Și trebuie făcute bine. Căci atingerea conformității GDPR nu este un examen pentru a dovedi faptul că suntem în stare să asigurăm protecția datelor personale. Nu este o barieră de depășit. Este o ștachetă către un nivel superior de organizare și funcționare. GDPR este un certificat de încredere pe viață. Pe tot ciclul de viață al unui proces de business. Dacă vă gândiți că până la 25 Mai 2018 mai este suficient timp, vă asumați o mare răspundere… Poate că v-ați decis că acum a sosit timpul pentru acțiune. Total greșit! Acum mai este timp doar pentru acțiune responsabilă și de durată. Radu Crahmaliuc, Analist și Consilier GDPR
1
Catalog GDPR Ready
Conținutul editorial al acestui Ghid este realizat pe baza unei acumulări de cunoaștere intensive, care reunește considerente teoretice și practice provenite din multiple resurse. Ca și în edițiile precedente ale Cataloagelor noastre, valoarea acestui conținut este mult amplificată de părerile unor specialiști care vă oferă recomandările lor. Iată principalii contributori și titlul articolelor lor:
Radu CRAHMALIUC –
„Ghid de implementare GDPR”, pag. 3-50
COLABORATORI
Yugo NEUMORNI –
„Fenomenul GDPR”, pag. 54-55
Andreea LISIEVICI –
„Portarea datelor în GDPR. Șah mat sau avantaj concurenţial?”, pag. 56-60
Dana Cristina MATACHE –
„Les Jeux sont faits: Mizaţi pe Conformitatea GDPR!”, pag. 62-63
Fernanda VELTER –
„Abordarea GDPR prin prisma unei experienţe de 10 ani”, pag. 64-65
Tudor GALOŞ –
„Dimensiunea umană a GDPR-ului”, pag. 66-67
2
Catalog GDPR Ready
GHID DE IMPLEMENTARE GDPR
50 de întrebări despre Ce, Cum, Unde și Când 1 Cum demarăm un proiect de conformitate GDPR? GDPR nu este simplu un proiect IT. Este un proces complex ce presupune un ansamblu logic de proiecte, care implică o intensă muncă de echipă. Care sunt pașii pentru implementarea unui astfel de proiect? Diferitele școli și culturi manageriale recomandă diferite rețete, bazate pe o serie de pași predefiniți. Nu există o rețetă prestabilită sau un soft care să asigure implementarea GDPR prin simpla aplicare. Fiecare dintre noi trebuie să alegem acele seturi de proceduri care rezolvă fluxurile de business cu cea mai mare importanță pentru noi, și care ne și expun la cele mai mari riscuri. Pentru acest Ghid Practic de implementare GDPR am studiat o selecție generală de proceduri, care la rândul lor se bazează pe o complexitate de procese și analize, care pot acoperi o mare diversitate de activități, industrii și roluri. Deși majoritatea pașilor constau în proceduri tipice pentru un management de proiect, ordinea abordării nu este o regulă clară. Conștientizarea importanței GDPR Formarea echipei de proiect Maparea fluxurilor de date Stabilirea temeiului legal Determinarea și reducerea scopului Analiza GAP Actualizarea contractelor de business Analiza de risc Analiza DPIA Planul de acțiune pentru breșele de date Data Privacy by Design and by Default Construirea culturii GDPR de organizație Parte dintre acești pași sunt obligatorii, chiar și pentru companiile mici și mijlocii, restul sunt proceduri opționale recomandate pentru operatorii unor volume mari de date.
3
Catalog GDPR Ready
2 Care este prioritatea acțiunilor? Ca orice operator de date personale trebuie să începem cu identificarea acțiunilor care trebuie întreprinse pentru conformarea la cerințele impuse de GDPR, după care urmează să ne facem un plan efectiv de implementare. Aceste acțiuni trebuie să le prioritizăm în funcție de riscurile pe care le prezintă prelucrările efectuate pentru drepturile și libertățile persoanelor vizate. În „Ghidul orientativ de aplicare a Regulamentului General privind Protecția Datelor destinat operatorilor” [1] Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) ne recomandă ca, indiferent de prelucrările efectuate, să avem în vedere, în principal, următoarele aspecte: colectarea și prelucrarea doar a datelor strict necesare pentru realizarea scopurilor; identificarea temeiului legal în baza căruia se efectuează prelucrarea raportat la art. 6 din Regulamentul General privind Protecția Datelor (ex. consimțământul persoanelor vizate, contract, obligație legală); revizuirea / completarea informațiilor furnizate persoanelor vizate, astfel încât să respecte cerințele (articolele 12, 13 și 14); cunoașterea noilor obligații și responsabilități de către persoanele împuternicite (procesatori); verificarea existenței clauzelor contractuale și actualizarea obligațiilor persoanelor împuternicite privind securitatea, confidențialitatea și protecția datelor cu caracter personal prelucrate; stabilirea modalităților de exercitare a drepturilor persoanelor vizate (ex. dreptul de acces, dreptul de rectificare, dreptul la portabilitate, retragerea consimțământului); verificarea măsurilor de securitate implementate.
3 Ce trebuie să știm când pornim la drum? Orice plan de conformitate trebuie gândit și elaborat având în minte principalele elemente de noutate cu care vine GDPR: FORȚA SCHIMBĂRII - Noul regulament vine cu o forță a schimbării fără precedent, care pentru multe organizații are toate șansele să aibă un efect disturbator - mult mai mare decât cel generat de tehnologiile inovative din valul digital de care tot vorbim de o vreme încoace. Trebuie să înțelegem că GDPR nu a avut o geneză ușoară. Gândit ca o actualizare absolut necesară a Directivei 95/46/EC, GDPR s-a consolidat după 4 ani de dezbateri și 3000 de amendamente. Peste 80 de noi cerințe au apărut față de vechea directivă. Multe companii vor fi nevoite să facă schimbări majore în modele de business. Unii spun că vom fi să reconsiderăm radical actualele procese de marketing. Potrivit Digital Clarity Group, „GDPR ar putea fi o amenințare de moarte pentru existența multor companii și obligă la adoptarea
4
Catalog GDPR Ready
de decizii fundamentale cu privire la colectarea, prelucrarea și stocarea datelor în probleme cheie din strategia de afaceri.” ORICINE - ORIUNDE ÎN LUME - Un vector esențial al noului regulament este globalizarea ariei de aplicabilitate. Noile reglementări nu se aplică numai prelucrărilor efectuate de organizații care operează în cadrul UE, ci sunt extinse și asupra oricărei organizații din afara UE care oferă bunuri sau servicii persoanelor fizice din UE. Conform Art.3 „Domeniul de aplicare teritorial”, noul regulament „se aplică prelucrării datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.” RESPONSABILI PENTRU RESPONSABILITATEA NOASTRĂ - GDPR face organizațiile responsabile pentru documentarea procedurilor de date, solicitând consimțământul explicit al rezidenților UE pentru colectarea datelor, ștergerea datelor la cerere, notificarea locuitorilor, prelucrarea sau transferul acestora către un alt furnizor de servicii și furnizarea datelor solicitate într-un mod structurat și format comun, utilizat în timp util. În Articolul 5, Alineatul 2 ni se formulează clar principiul responsabilității: «Operatorul trebuie să fie responsabil de respectarea alineatului (1) şi să poată demonstra această respectare („responsabilitate”).» Cu alte cuvinte, cea mai importantă adăugare la GDPR este principiul responsabilității. GDPR ne cere nu numai să respectăm principiile, ci și să demonstrăm oricând că putem susține această responsabilitate. DATELE SUNT PUTEREA ȘI TREBUIE SĂ CIRCULE - Dacă știi să le faci transparente, să le raportezi și să le folosești… Cele 6 Principii fundamentale ale GDPR ne stabilesc principalele responsabilități. Aceste principii sunt similare cu cele din legislația valabilă până la 25 mai, cu o cerință nouă pentru responsabilitate - unul dintre vectorii cheie ai GDPR. Ca operatori de date personale suntem obligați, nu numai să respectăm aceste principii, ci și să demonstrăm modul în care sunt activitățile noastre conforme cu principiile prelucrării datelor personale. CONSIMȚĂMÂNTUL – Un alt element forte al noului Regulament, trebuie să fie clar și liber de orice impunere, iar solicitarea inteligibilă pe care o facem către persoana vizată trebuie să se bazeze pe o solidă argumentare a scopului în care se procesează datele. Dar ce este Consimțământul? În contextul GDPR prin consimțământ se înțelege „o confirmare clară a faptului că persoana vizată a fost informată, știe și este de acord cu prelucrarea datelor sale personale de către operator, în scopurile stabilite împreună cu acesta.” În plus, această dovadă trebuie să fie clară, liberă, specifică, informată și lipsită de ambiguitate, separat de alți termeni și condiții, verificabilă și, nu în ultimul rând, ușor de retras… OBLIGAȚII PENTRU TOȚI CEI IMPLICAȚI – În relația operator de date personale – procesator (persoană împuternicită conform traducerii preferată oficial), ambele părți nu vor mai putea folosi termeni contractuali necompatibili GDPR sau cu clauze greu de
5
Catalog GDPR Ready
probat. Relațiile contractuale între Operator și Procesator sunt stricte și trebuie formulate cu claritate în contract. Obligațiile Operatorului sunt specifice activităților derulate și sunt majore. Un Procesator nu e scutit de obligații, dimpotrivă. În anumite circumstanțe, chiar dacă sunteți Procesator și se constată clar că sunteți responsabil pentru o breșă de securitate care poate afecta grav protecția datelor personale pe care le prelucrați, puteți fi expuși la sancțiuni în mod direct. De asemenea, ca operator nu sunteți scutit de obligații în cazul în care apelați la unul sau mai mulți procesatori de date. ARTA DE A ADMINISTRA CRIZELE – Notificarea breșelor devine obligatorie pentru toate țările membre ale comunității. Orice incident trebuie comunicat către autoritățile de protecție a datelor (DPA) în maximum 72 de ore de când breșa a fost constatată. Operatorii vor trebui să își anunțe și clienții, imediat după ce s-a dovedit că incidentul de securitate a afectat datele personale ale acestora, fără întârzieri nejustificate. Această notificare nu mai devine necesară dacă știm să gestionăm criza și luăm măsurile adecvate pentru limitarea pierderilor, dacă implementăm din timp o strategie Data Protection by Design & by Default, dacă aderăm la un cod de conduită sau dacă deținem deja certificare asociată procedurilor de securitate specifice GDPR. CONFIDENȚIALITATE PRIN DESIGN – „Privacy by design” este un concept care se folosește încă din 1995, dar care abia acum devine parte din pachetul de cerințe GDPR. În esență, constă în includerea din start a instrumentelor de protecție a datelor la proiectarea unui sistem informatic. În GDPR este mai valabilă ca oriunde altundeva celebra aserțiune atribuită lui Steve Jobs: „Design is a funny word. Some people think design is how it looks. But of course, if you dig deeper, it’s really how it works.” GDPR ne încurajează să ne asigurăm că protecția vieții private și a datelor reprezintă un element-cheie în primele etape ale oricărui proiect și apoi pe tot parcursul ciclului său de viață. UN PERSONAJ CU CHEIE: DATA PROTECTION OFFICER (DPO) – Un studiu IAPP estimează un necesar de peste 75000 de ofițeri DP în toată Europa. Deținătorul acestei poziții va fi mandatarul conformității GDPR, urmând să cumuleze expertiză legală, operațională și IT. Deși condițiile numirii unui DPO, sarcinile și competențele acestuia sunt stipulate destul de clar în Articolele 37 – 39 din noul Regulament, se impune crearea unei autorități care să gireze expertiza celor care parcurg diferite cursuri de formare DPO, precum și a celor care organizează această pregătire. Spania este prima țară care a anunțat intenția de înființare a unui astfel de organism, prin colaborarea strânsă între autoritatea națională și comunitățile locale de profesioniști în securitatea și confidențialitatea datelor [2]. NE TREBUIE PAȘAPORT PENTRU DATE – GDPR vine cu reguli clare și dure privind transferul internațional, impunând restricții în transferul de date cu caracter personal în afara Uniunii Europene, țărilor terțe sau organizațiilor internaționale. Orice transfer internațional efectuat de către un operator sau un procesator are loc numai dacă sunt îndeplinite condiții de transferuri pe baza adecvării, transferurile sunt supuse garanțiilor
6
Catalog GDPR Ready
adecvate sau pot fi considerate anumite reguli corporative recunoscute de forurile GDPR ale UE. Toate prevederile vor fi aplicate pentru a asigura faptul că protecția persoanelor fizice nu este subminată. Regulamentul interzice transferul de date cu caracter personal în afara UE într-o țară terță care nu dispune de o protecție adecvată a datelor. Comisia Europeană are competența de a aproba anumite țări pentru a asigura un nivel adecvat de protecție a datelor, luând în considerare legislația privind protecția datelor în vigoare în țara respective și angajamentele internaționale ale acesteia.
4 Care sunt direcțiile de acțiune? În primul rând, elaborarea unui plan de asigurare a tuturor măsurilor necesare pentru îndeplinirea compatibilității, care să conțină: pregătirea aplicării efective a Regulamentului; obținerea resurselor financiare și umane adecvate pentru realizarea efectivă a competențelor solicitate; elaborarea unei Analize de impact – în cazul procesărilor de date care presupun un risc ridicat pentru viața privată a persoanelor, cum ar fi cele din sănătate; înființarea funcției Data Protection Officer (DPO), ca persoană care răspunde de/ coordonează siguranța datelor personale la nivelul Operatorului de date, acolo unde este obligatoriu sau recomandabil; conștientizarea riscurilor asociate cu penalitățile extrem de severe anunțate pentru neconformare.
5 De ce e nevoie de evidența activităților de prelucrare? Evidența activităților de prelucrare este prima procedură pe care trebuie să o adoptăm, indiferent de profilul nostru de activitate sau natura datelor personale și scopul prelucrării acestora. În oricare dintre situații avem obligația de a furniza politici de confidențialitate complete, clare și transparente. Dacă organizația noastră are mai mult de 250 de angajați, trebuie să păstrăm înregistrări interne suplimentare ale activităților de procesare. Pentru IMM-uri, adică organizații cu mai puțin de 250 de angajați, suntem obligați să păstrăm doar evidența activităților legate de prelucrarea datelor cu risc sporit, cum ar fi: prelucrarea datelor cu caracter personal care ar putea duce la un risc pentru drepturile și libertățile individului; procesarea unor categorii speciale de date, precum condamnări și infracțiuni penale. De ce trebuie să înregistrăm tot ceea ce prelucrăm? Pentru că este cea mai elementară procedură internă. Conform Articolului 30, Alineatul 1 trebuie să înregistrăm și să avem o evidență clară a următoarele informații:
7
Catalog GDPR Ready
8
Catalog GDPR Ready
9
Catalog GDPR Ready numele şi datele de contact ale operatorului şi, după caz, ale operatorului asociat, ale reprezentantului operatorului şi ale responsabilului cu protecția datelor; scopurile prelucrării; descriere a categoriilor de persoane vizate şi a categoriilor de date cu caracter personal; categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din ţări terţe sau organizaţii internaționale; dacă este cazul, transferurile de date cu caracter personal către o ţară terță sau o organizație internațională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective şi, în cazul transferurilor menţionate la Articolul 49, Alineatul 1 al doilea paragraf, documentaţia care dovedeşte existenţa unor garanţii adecvate; acolo unde este posibil, termenele-limită preconizate pentru ştergerea diferitelor categorii de date; acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de securitate menţionate la Articolul 32, Alineatul 1. După intrarea în vigoare a noului Regulament este posibil să vi se solicite ca aceste înregistrări să fie puse la dispoziția autorității de supraveghere competente în cazul unei investigații.
6 Ce trebuie să conțină evidențele operatorilor? În vederea demonstrării conformităţii cu prezentul regulament, operatorul sau procesatorul ar trebui să păstreze evidenţe ale activităţilor de prelucrare aflate în responsabilitatea sa. Fiecare operator şi fiecare procesator ar trebui să aibă obligaţia de a coopera cu autoritatea de supraveghere şi de a pune la dispoziţia acesteia, la cerere, aceste evidenţe, pentru a putea fi utilizate în scopul monitorizării operaţiunilor de prelucrare respective. Conform Articolului 30, Alineatul 2, aceste evidențe trebuie să includă: numele şi datele de contact ale persoanei sau persoanelor împuternicite de operator şi ale fiecărui operator în numele căruia acţionează această persoană (aceste persoane), precum şi ale reprezentantului operatorului sau al persoanei împuternicite de operator, după caz; categoriile de activităţi de prelucrare desfăşurate în numele fiecărui operator; dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective şi, în cazul transferurilor prevăzute la Articolul 49, Alineatul 1 - al doilea paragraf, documentaţia care dovedeşte existenţa unor garanţii adecvate; acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de securitate menţionate la Articolul 32, Alineatul 1.
10
Catalog GDPR Ready
Evidenţele menţionate la Alineatele (1) şi (2) se formulează în scris, inclusiv în format electronic. Operatorul sau procesatorul pun evidenţele la dispoziţia autorităţii de supraveghere, la cererea acesteia.
7 Cum conștientizăm importanța GDPR în companie? Primul pas în demararea unui proiect de obținere a conformității GDPR - numit în continuare Proiect GDPR, este de înțelegere și conștientizare a importanței noii legislații europene atât pentru organizația noastră, cât și pentru întreg ecosistemul de business în care suntem angrenați: angajați, furnizori, parteneri, clienți. La nivel de organizație Conștientizarea vizează toți factorii de conducere și departamentele direct implicate în procesarea datelor cu caracter personal. Cei care iau decizii și oamenii cheie din organizație trebuie sa fie conștienți că legea se schimbă în GDPR. Ei au nevoie să aprecieze impactul eventualelor probleme de conformitate în cadrul GDPR. Ar fi util să începem examinând registrul de risc al organizației, dacă avem unul. Implementarea GDPR ar putea avea implicații semnificative asupra resurselor, în special pentru organizațiile mai mari și mai complexe. S-ar putea să descoperiți că este dificil dacă îți lași pregătirile până în ultima clipă. De ce e importantă Conștientizarea importanței GDPR? Pentru că, deși cele mai multe componente ale GDPR se regăsesc și în legislația actuală, noua reglementare europeană vine cu o serie de noi prevederi care pot schimba dramatic cursul firesc al unui business, în cazul în care nu sunt tratate cu toată considerația.
8 Cine sunt responsabilii de business interesați de GDPR? Protecția datelor nu este doar o responsabilitate a departamentului IT, ci trebuie luată în serios la cel mai înalt nivel și în departamentele implicate în procesarea datelor personale, precum cel juridic, resurse umane, financiar, marketing & vânzări, toate acestea în strânsă colaborare cu cel de IT. Prin natura prevederilor, în orice organizație factorii responsabili de bunul mers al implementării GDPR trebuie să fie reprezentanți de top sau delegați pentru fiecare dintre departamentele. Selecție pe bază de organigramă împreună cu reprezentantul HR și management: Top management – un director executiv sau operațional care coordonează managerial activitatea Grupului de lucru GDPR. De ce e important reprezentantul managerial? Pentru ca acesta trebuie să capaciteze structura de top pentru aprobarea întregului proiect de conformitate: bugete, resurse umane, DPO, operațiuni, etc. HR – un director de resurse umane sau un delegat responsabil de conformitatea administrării datelor personale ale angajaților (actuali, foști și cei în curs de angajare). Indiferent de natura activității companiei, departamentul HR are întotdeauna rol de operator al datelor personale ale angajaților.
11
Catalog GDPR Ready Financiar-Contabilitate – responsabilități în strânsă legătură cu HR, prin datele despre salarizare, dar și un rol important în stabilirea și gestionarea bugetelor. Departamentul juridic – juriștii de companie sunt primii care trebuie sa asigure generarea și coerența activităților legate de adoptarea unui plan de acțiune, în acord cu legislația. Juriștii trebuie să explice legea tuturor departamentelor implicate și trebuie să supervizeze actualizarea contractelor de angajare sau a fișelor de post în concordanță cu prevederile GDPR, dar și cu legislația muncii. Juridicul are un rol important și în situația apariției incidentelor, gestionând relațiile legislative ale companiei cu forurile și autoritățile competente. Marketing & Sales – un director, reprezentant al departamentului de marketing +/vânzări. Prin relația directă cu clienții și partenerii, departamentul de marketing e direct răspunzător de toate activitățile de promovare și CRM, cu tendința către PLM. Departamentul IT – în funcție de mărimea companiei și existența posturilor respective, implică CTO, CIO, CSO și toți membrii care au o certificare legată direct de protecția și securitatea datelor. Departamentul de calitate – pentru companiile care au implementat o certificare sau un standard de calitate. Mulți spun că prin poziția și competențele sale, directorul de calitate – acolo unde există – este cel mai apropiat de poziția de DPO, pentru că știe totul despre companie, organizare, procese de business, fluxuri de date, organigrama, resursele tehnice, etc. Candidatul pentru DPO – acolo unde este cazul, se alege / stabilește dintre membrii acestei echipe, în funcție de nivelul de experiență. Nu este o regulă, dar pentru organizațiile mari se recomandă alegerea unui DPO Adjunct, cu rolul de a prelua coordonarea activităților esențiale în cazul indisponibilității DPO titular. Specialiști externi - din oricare domeniu cu competențe de consultanță și consiliere.
9 Cum asigurăm conștientizarea echipei de implementare GDPR? Există și aici o serie de pași și de proceduri pe care trebuie să le abordăm: Plan coerent de discuții, înțelegere și interpretare a prevederilor GDPR în funcție de profilul și mărimea companiei. Prezentări de conștientizare cu șefi de departamente și la nivelul fiecărui departament direct implicat în procesarea datelor personale. Fiecare membru al echipei de implementare trebuie să înțeleagă rolul său individual și colectiv pentru bunul mers al lucrurilor. Indiferent de departament, vechime și pregătire, toți membrii echipei de implementare GDPR trebuie să vorbească aceeași limbă și să participe la elaborarea și urmărirea planului comun de acțiune.
12
Catalog GDPR Ready
10 Cum ne poziționăm: Operator sau Procesator? Esența unui bun început în elaborarea planului de conformitate GDPR este poziția pe care o are compania în fiecare dintre activitățile de business pe care le derulăm și care implică procesarea de date personale: operator sau procesator. Să revedem definițiile pentru acești 2 termeni, conform Articolului 4. „Operator” – este persoana fizică sau juridică, autoritatea publică, agenţie sau alt organism care - singur sau împreună cu altele - stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite print-o prevedere a Uniunii Europene sau o prevedere a legislației naționale, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul UE sau în dreptul intern; „Procesator” – este persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului, printr-o împuternicire de partea acestuia; Operatorul joacă un rol crucial în asigurarea conformității. GDPR definește clar modul în care organizațiile trebuie să mențină cadrul legal în toate activitățile de procesare. Procesatorul și Operatorul trebuie să fie de încredere și răspunzători pentru rolul lor. Ambele posturi implică implementarea măsurilor tehnice și organizaționale apte a demonstra că procesarea datelor este asigurată în conformitate cu GDPR. La implementarea măsurilor tehnice și operaționale, Operatorul trebuie să țină cont de natura, scopul, contextul și motivul procesării, precum și de riscurile care pot amenința drepturile și libertățile persoanelor vizate. GDPR recomandă aprecierea acestor amenințări printr-o procedură de evaluare a impactului DPIA. Principalul obiectiv al DPIA este să ajute organizațiile în măsurarea nivelului de confidențialitate. Pentru a putea garanta cerințele GDPR, Operatorul trebuie să apeleze numai la Procesatori care prezintă suficiente garanții, cu care să închidă un contract în care să fie prevăzute cu claritate întreaga gamă de operațiuni de procesare pe care au voie să le execute. Un Procesator trebuie să aibă autorizarea clară a Operatorului pentru fiecare activitate de procesare, precum și autorizarea de a apela la alți procesatori acolo unde e nevoie. Dacă Procesatorul nu este localizat în statele membre sau într-una dintre țările aprobate de UE pentru condiții de Securitate similare cu cele din statele membre, este nevoie de aprobarea autorității de supraveghere care analizează condițiile de securitate existente în respectiva țară.
11 Ce trebuie să conțină un contract de business? În relația cu un Procesator, orice Operator este obligat să includă în contractul de business cu acesta o serie de specificații precum: Să acționeze numai în conformitate cu instrucțiunile documentate ale Operatorului; Să respecte regulile de transfer internațional al datelor;
13
Catalog GDPR Ready Să impună obligativitatea confidențialității tuturor angajaților care lucrează cu date relevante; Să adopte măsuri tehnice și organizatorice pentru asigurarea unui nivel de securitate apropiat de riscurile asociate procesării; Să respecte regulile legate de angajarea unor sub-procesatori; Să adopte măsuri prin care să îi asiste pe Operatori să fie conformi cu drepturile subiecților vizați; Să asiste Operatorul în activitățile cheie de asigurare a securității procesării, precum notificarea breșelor și evaluarea de impact; La decizia Operatorului, trebuie să returneze sau să distrugă datele personale la încheierea relației de parteneriat; Să permită și să contribuie la auditări și inspecții; Să furnizeze Operatorului orice informații necesare pentru demonstrarea conformității cu GDPR.
12 Ce este maparea fluxurilor de date? Pentru o identificare cât mai eficientă a riscurilor asociate procesărilor de date personale, trebuie să documentăm ce fel de date personale deținem, de unde le avem și cu cine le partajăm. Pentru a afla toate acestea e nevoie să organizăm un audit de informații la nivelul întregii organizații sau doar pentru anumite linii de business. Data Mapping este procesul de identificare a modelului de circulație a datelor folosit la determinarea tipurilor de date personale procesate de organizație. Ce trebuie să identificăm în prelucrarea datelor cu caracter personal? Ce prelucrări de date cu caracter personal facem; Ce categorii de date cu caracter personal prelucrăm; Ce scopuri urmărim prin operaţiunile de prelucrare a datelor; Cine sunt persoanele care prelucrează aceste date; Care sunt fluxurile de date, indicând originea și destinaţia datelor, în special pentru a identifica eventualele transferuri de date în afara Uniunii Europene.
13 Ce trebuie să conțină evidenţa activităţilor de prelucrare? Pentru fiecare prelucrare de date cu caracter personal, se au în vedere: CINE ? Se înscriu în evidenţă numele și coordonatele operatorului (și ale reprezentantului sau legal) și, după caz, ale responsabilului cu protecţia datelor; Se întocmește lista persoanelor împuternicite. CE ? Se identifică categoriile de date cu caracter personal prelucrate; Se identifică datele susceptibile de a prezenta riscuri datorită naturii lor sensibile deosebite (sănătatea sau infracţiunile)
14
Catalog GDPR Ready
DE CE ? Se precizează scopul sau scopurile în care sunt colectate sau prelucrate datele cu caracter personal (ex. gestionarea relaţiei comerciale, managementul resurselor umane, geo-localizare, video-supraveghere etc.) UNDE ? Se stabilește locaţia sistemului de evidenţă și, dacă e cazul, destinatarii datelor. Se stabilesc statele către care sunt, eventual, transferate datele. PÂNĂ CÂND? Se precizează, pentru fiecare categorie de date, perioada de stocare. CUM ? Se precizează măsurile de securitate implementate pentru a reduce la minimum riscurile de acces neautorizat la date și, în consecință, impactul asupra vieţii private a persoanelor vizate.
14 Ce aspecte trebuie să avem în vedere? După ce am identificat poziția pe care o deținem în fiecare dintre procesele de business ce implică prelucrări de date personale și am stabilit acţiunile care trebuie întreprinse pentru conformarea la cerinţele impuse de GDPR, trebuie să prioritizăm aceste acţiuni în funcţie de riscurile pe care le prezintă prelucrările efectuate pentru drepturile și libertăţile persoanelor vizate. Indiferent de tipul de prelucrări efectuate, trebuie să avem în vedere câteva aspecte precum: colectarea și prelucrarea doar a datelor strict necesare pentru realizarea scopurilor; identificarea temeiului legal în baza căruia efectuăm prelucrarea raportat la art. 6 din Regulamentul General privind Protecţia Datelor (ex. consimţământul persoanelor vizate, contract, obligaţie legală); revizuirea/completarea informaţiilor furnizate persoanelor vizate, astfel încât să respecte cerinţele Articolelor 12, 13 și 14; să ne asigurăm că procesatorii își cunosc noile obligaţii și responsabilităţi; verificarea clauzelor contractuale și actualizarea obligaţiilor procesatorilor privind securitatea, confidenţialitatea și protecţia datelor cu caracter personal prelucrate; stabilirea modalităţilor de exercitare a drepturilor persoanelor vizate (ex. dreptul de acces, dreptul de rectificare, dreptul la portabilitate, retragerea consimţământului); verificarea măsurilor de securitate implementate.
15 Ce trebuie să facem pentru mai buna înțelegere a datelor? Înțelegerea fluxurilor de date reprezintă esența conformității GDPR – unde sunt stocate, cum sunt administrate, cine are acces? Înainte de orice altceva, trebuie să răspundem la asta: Sunt datele mele supuse prevederilor GDPR? Care este rolul nostru în fluxul de procesare a datelor personale și care sunt aceste date. Apoi, trebuie să clarificăm ce anume facem cu datele personale,
15
Catalog GDPR Ready
le procesăm la solicitarea unui operator, le înregistrăm, le structurăm și le stocăm, le adaptăm, le extragem, le ștergem, etc.; Învățați tot ce este posibil despre datele voastre: Nu trebuie să cunoașteți în permanență numai ce fel de date, unde sunt ele salvate, ce se stochează și cine are acces la ele, ci și care sunt direcțiile de acțiune în cazul apariției unei breșe de Securitate; Conduceți un audit intern – pentru identificarea și evaluarea soluțiilor tehnologice de care aveți nevoie, oamenii de care avem nevoie pentru asta și ce procese sunt necesare pentru transformarea practicilor interne in suport pentru noul regulament; Ce sunt datele senzitive? – acestea pot lua diferite forme, în funcție de organizație. Firmele de retail sunt interesate cu precădere de datele financiare ale clienților, firmele farmaceutice de proprietatea intelectuală, păstrarea secretelor de fabricație, dar și datele de sănătate provenite de la pacienți. Deși există forme comune ale datelor de identificare personale (personal identifying information - PII) si informațiilor personale senzitive (Personal Sensitive Information – PSI) precum cărțile de credit, ID asigurări sociale, adrese, etc există și seturi de date unice legate de proprietatea intelectuală, secrete de fabricație sau alte date de corporație care pot fi foarte senzitive pentru o organizație. Abilitatea de a defini parametrii customizați pentru datele senzitive e imperativă pentru soluțiile de management al riscurilor; Unde sunt datele localizate, de ce sunt stocate și pe ce perioadă sunt ele păstrate – Istoric, datele au fost deseori stocate în multiple locații. Acum echipele de Securitate trebuie să administreze datele stocate în depozite de date fără frontiere, precum cele din Cloud. Nu este de neglijat o analiză a diferențelor dintre rețelele private, depozitele în Cloud și aplicațiile terțe precum partajarea fișierelor în Office 365; Putem desena o hartă a fluxurilor de date? – Maparea datelor angrenate într-un proces de business este una dintre cele mai importante etape pe care trebuie să o abordăm într-un proiect GDPR. De multe ori informații cu caracter senzitiv pot scăpa accidental în afara organizației, precum datele mascate stocate într-o foaie de calcul, în notele de subsol ale prezentărilor interne cu caracter confidențial sau, cine nu a pățit asta, comentarii sau remarci uitate sau atașate în textele prea lungi de e-mail. Putem evita toate aceste neplăceri prin scanarea datelor senzitive din companie, verificarea condițiilor de stocare, desenarea unei hărți a fluxului de date și, evident, eliminarea datelor senzitive din locațiile neautorizate. Mai rămâne să avem grijă cum salvăm și cui trimitem această hartă; Cine are acces la datele senzitive? – următoarea etapă pe care trebuie să o abordăm este analiza drepturilor de acces. Acestea trebuie să fie evident bazate pe roluri și responsabilități la nivel de departamente sau pe funcții de business. Accesul neautorizat la datele personale este una dintre sursele majore de risc. Instruirea personalului care procesează aceste date are aici un rol critic. Oricine are acces la aceste date trebuie să înțeleagă valoarea acestora ca asseturi de companie, la fel ca orice bun de proprietate fizică;
16
Catalog GDPR Ready Când avem nevoie de un transfer al datelor? – Circumstanțele legate de transferul de date au și ele un rol important în GDPR. Trebuie să înțelegem exact ce se întâmplă când datele personale sunt transferate din UE către țări din afara European Economic Area (EEA). GDPR stipulează clar că nu avem voie să facem transfer de date către țări care nu sunt recomandate pentru condițiile de protecție pe care le oferă; Cum sunt administrate aceste date? – Dacă avem răspunsuri clare la toate întrebările precedente putem construi un plan de acțiune bazat pe o strategie de confidențialitate data-centrică pentru a reduce riscurile de natură digitală. Politicile proactive da administrare a datelor, în combinație cu soluțiile tehnologice potrivite ne ajută în demersul de asigurare a conformității, reducând riscurile și facilitând transformarea digitală a oricărei afaceri.
16 Ce trebuie să știm despre maparea datelor? Pentru a putea efectua o mapare a datelor trebuie să înțelegem fluxul de informații pentru fiecare dintre activitățile de business pe care le derulăm. Înțelegerea fluxului de informații – un flux de informații este transferul de informații de la o locație la alta. De exemplu de la un furnizor la un distribuitor, apoi la un reseller și în cele din urmă la un client; Descrierea fluxului de informații - asta înseamnă o parcurgere în timpul unui ciclu de informații pentru a identifica sursele inutile sau neautorizate de acces la date, care pot genera vulnerabilități. Cea mai bună măsură de precauție este limitarea acestui flux de date doar la informațiile absolut necesare și limitarea perioadei de stocare la strictul necesar; Identificarea elementelor cheie - orice organizație trebuie să analizeze tipul de date colectate, formatul în care sunt stocate și metodele de colectare a datelor; Locațiile de păstrare a datelor și cine are acces la aceste zone trebuie revizuite de asemenea. Provocări Una dintre provocările majore la maparea datelor poate să fie deciderea tipului de informații care trebuie înregistrate și în ce format. Datele personale pot fi stocate într-un număr destul de mare de locații, într-o mare diversitate de formate, precum pe suport de hârtie, electronic sau audio. O altă problemă poate fi identificarea celei mai bune tehnologii de protejare a informațiilor și cine poate avea acces. Asta necesită punerea în practică a unei serii întregi de proceduri și politici pentru a ne asigura că tehnologia este folosită corect și adecvat. La fel de important este să determinăm obligațiile legale și regulamentele la care trebuie să ne supunem. Pe lângă GDPR mai există o serie de standarde de conformitate internaționale, precum și legi, regulamente și norme locale.
17
Catalog GDPR Ready
18
Catalog GDPR Ready
19
Catalog GDPR Ready
17 Cum stabilim temeiul legal al procesării de date? Acum că am terminat o primă fază de analiză a proceselor interne și ne-am lămurit care sunt toate scopurile noastre de procesare, trebuie să asignăm o bază legală fiecărui proces de prelucrare și să documentăm acest lucru. De multe ori această bază legală poate avea efect asupra drepturilor persoanelor. De exemplu, persoanele de la care primim un consimțământ clar pentru prelucrarea datelor vor avea și drepturi mai puternice, cum ar fi dreptul de a fi uitat – adică opțiunea de ștergere a datelor. În Articolul 6: Legalitatea condițiilor de prelucrare, la Alineatul 1 se specifică foarte clar că „Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele 6 condiţii”: Există un consimțământ - persoana vizată ne-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice; CONTRACT - prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract; LEGAL - prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului; VITAL - prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice; PUBLIC - prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul; LEGITIM - prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.
18 Ce este Consimțământul? În contextul GDPR prin consimțământ se înțelege o confirmare clară a faptului că persoana vizată a fost informată, știe și este de acord cu prelucrarea datelor sale personale de către operator, în scopurile stabilite împreună cu acesta. În plus: această dovadă trebuie să fie clară, liberă, specifică, informată și lipsită de ambiguitate; trebuie să reprezinte o formă de acțiune afirmativă clară; în cazul chestionarelor ce au ca scop obținerea consimțământului sunt excluse ambiguități legate de necompletarea sau pre-bifarea unui căsuțe de dialog; consimțământul trebuie să fie separat de alți termeni și condiții; consimțământul trebuie să fie verificabil;
20
Catalog GDPR Ready trebuie să existe modalități simple pentru ca oamenii să-și retragă consimțământul; autoritățile publice și angajatorii vor trebui să aibă grijă deosebită pentru a se asigura că acordul este acordat în mod liber.
19 Putem prelucra datele și în alte scopuri? În cazul în care prelucrarea se face în alt scop decât cel pentru care au fost colectate datele cu caracter personal și pentru care nu există consimțământul persoanei vizate, operatorii și procesatorii de date trebuie să ia în considerare prevederile de la Articolul 6, Alineatul 4. Pentru a putea stabili dacă prelucrarea în alt scop este compatibilă cu scopul inițial pentru care au fost colectate datele cu caracter personal, aceștia trebuie să ia în considerare, printre altele: orice legătură dintre scopurile în care datele cu caracter personal au fost colectate şi scopurile prelucrării ulterioare preconizate; contextul în care datele cu caracter personal au fost colectate, mai ales privind relaţia dintre persoanele vizate şi operator; natura datelor cu caracter personal, în special în cazul prelucrării unor categorii speciale de date, conform Articolului 9, sau pentru date referitoare la condamnări penale şi infracţiuni, conform Articolului 10; posibilele consecințe asupra persoanelor vizate legate de prelucrările ulterioare; existenţa unor garanţii adecvate, care pot include criptarea sau atribuirea de pseudonime.
20 Care sunt categoriile speciale de date și excepțiile? E important să înțelegem că, pe lângă condițiile generale, trebuie să avem în vedere și condițiile specifice pentru categoriile speciale de date. În Articolul 9, Alineatul 1 se spune că: „Se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice.” În Articolul 9, Alineatul 2 se enumerează situațiile de excepție în care nu se aplică prevederile de la Alineatul 1, deci cazuri speciale în care este permisă prelucrarea datelor cu caracter personal: persoana vizată şi-a dat consimţământul explicit pentru prelucrarea datelor pentru unul sau mai multe scopuri specifice, cu excepţia cazului în care legislația locală nu recunoaște consimţământul persoanei vizate;
21
Catalog GDPR Ready îndeplinirea unor obligaţii ale operatorului sau drepturi specifice ale persoanei vizate în domeniile ocupării forţei de muncă, securităţii sociale şi protecţiei sociale, cu aplicarea legislației locale; protejarea intereselor vitale, atunci când persoana vizată e incapabilă fizic sau juridic să îşi dea consimţământul; garantarea de activităţile legitime ale unor fundaţii, asociaţii sau organisme nelucrative, cu specific politic, filozofic, religios sau sindical, dar numai pentru membri sau foşti membri; date personale care sunt făcute publice în mod manifest de către persoana vizată; constatarea, exercitarea sau apărarea unui drept în instanţă; motive de interes public major, în baza dreptului Uniunii sau a dreptului intern; medicina preventivă sau a muncii, evaluarea capacităţii de muncă, stabilirea unui diagnostic medical, asistenţă medicală sau socială; motive de interes public în domeniul sănătăţii publice; scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, conform Articolului 89, Alineatul 1. În Articolul 9, Alineatul 4 se precizează că fiecare stat poate menţine sau introduce condiţii suplimentare sau restricţii în cazul prelucrării de date genetice, biometrice sau privind sănătatea. O altă situație cu totul specială este prelucrarea datelor personale referitoare la condamnări penale şi infracţiuni. Articolul 10 precizează că în astfel de situații prelucrarea datelor personale precum și deținerea unor registre privind condamnările penale se face numai sub controlul unei autorităţi de stat.
21 Când nu avem nevoie de identificare? Dar pot exista o mulțime de situații în care prelucrarea datelor nu are nevoie de identificare, adică de asociere a unor seturi de date cu o anumită persoană. În această situație se pot încadra multe dintre analizele de piață și cercetări de marketing care au ca scop obținerea de informații statistice generale, atribuite unor grupuri de consumatori sau categorii profesionale. În Articolul 11: „Prelucrarea care nu necesită identificare”, Alineatul 1 se arată că „în cazul în care scopurile pentru care un operator prelucrează date cu caracter personal nu necesită sau nu mai necesită identificarea unei persoane vizate de către operator, operatorul nu are obligaţia de a păstra, obţine sau prelucra informaţii suplimentare pentru a identifica persoana vizată în scopul unic al respectării prezentului regulament”. Conform Articolului 11, Alineatul 2, dacă operatorul poate demonstra că nu este în măsură să identifice persoana vizată sau în cazul în care e posibil operatorul informează persoana vizată în mod corespunzător, Articolele 15-20 din capitolul de drepturi ale persoanei vizate, nu se aplică. Excepția care poate apărea aici atunci când persoana vizată oferă informaţii suplimentare ce permit identificarea sa, tocmai în scopul exercitării drepturilor sale prevăzute de respectivele articole.
22
Catalog GDPR Ready
22 Cum facem o analiză GAP? După definirea și reducerea domeniului de aplicare, următorul pas este identificarea zonelor cu risc sporit. Unde colectează și stochează compania cantități mari de date, cum sunt stocate aceste informații și care sunt riscurile încălcării sau utilizării necorespunzătoare a informațiilor? E bine să abordăm zonele cu potențialul de risc cel mai ridicat. Apoi putem efectua o scanare completă a zonelor de colectare a datelor în cadrul companiei. Această analiză a expunerii la riscuri poate fi făcută cu metodologii diferite, prin aplicarea mai multor tehnici și procedee, care pot demara cu o analiza de tip GAP, o analiza a impactului la prelucrarea datelor (DPIA) sau, după caz, o evaluare a impactului asupra vieții private (PIA). Analiza GAP mai este cunoscută și ca Analiza Decalajelor și constă în studierea în paralel a principalelor acțiuni ce trebuie întreprinse într-un proiect între două momente dedicate. De obicei se face o analiză GAP chiar la început, în faza de audit pentru estimarea nivelului de maturitate și al gradului de adopție între momentul de demarare a proiectului și nivelul de dezvoltare la care vrem să ajungem odată cu implementarea GDPR. Fiecare activitate analizată este apreciată cu un indicator calitativ/ cantitativ, care este supus unor estimări statistice de relevare a stadiului în care ne aflăm cu fiecare dintre activități. Realizarea conformității complete cu GDPR poate necesita implementarea mai multor soluții tehnologice pentru a aborda diferite amenințări. Este important să înțelegem toate riscurile inerente proceselor noastre de afaceri și să consolidăm securitatea, în cazul în care o singură soluție poate avea o zonă neacoperită. Pentru a efectua analiza «Decalajelor», persoanele responsabile pentru prelucrarea datelor în cadrul diferitelor departamente trebuie să fie incluse în procesul de evaluare. Această analiză poate fi efectuată prin ședințe de workshop pe departamente, chestionare de tip interviu sau autoevaluari. Orice model de analiză GAP veți utiliza, trebuie să pună accentul pe următoarele: ce fel de activități de prelucrare se desfășoară și în ce scop (scopuri); ce fel de date sunt procesate; modul de alocare a responsabilităților interne; ce garanții există, printre altele, în ceea ce privește drepturile persoanelor vizate. Analiza «Decalajelor» trebuie să includă identificarea obligațiilor entității în baza GDPR, pe baza activităților sale specifice de prelucrare a datelor. Pentru a încheia prima fază, entitatea va compara standardele de protecție a datelor cu nivelul de implementare la care s-a ajuns.
23 Cum ne asigurăm că respectăm drepturile individuale? Una dintre cele mai importante reguli pe care trebuie să le păstrăm în GDPR și să dovedim oricând că suntem în stare să facem asta este respectarea drepturilor indivi-
23
Catalog GDPR Ready
duale ale persoanelor vizate. Asta înseamnă că trebuie să verificăm riguros toate procedurile legate de interfața cu persoanele vizate, pentru a ne asigura că acoperim toate drepturile pe care le au persoanele, inclusiv modul în care ștergem datele personale sau furnizăm datele în format electronic. O altă evaluare este legată de drepturile individuale asociate prelucrărilor de date personale pe care le efectuăm. Putem analiza care sunt bazele legale pentru activitățile de procesare pe care le evaluăm și să ne concentrăm pe drepturile individuale aliniate la acestea. De exemplu, o cerere de accesare a datelor se poate aplica oricărei organizații, dar portabilitatea se aplică numai operatorilor care utilizează contractul și consimțământul, astfel încât nu trebuie să ne pregătim pentru portabilitate decât dacă folosim o bază legală afectată. GDPR include următoarele drepturi pentru persoane fizice: dreptul de a fi informat; dreptul de acces; dreptul la rectificare; dreptul la ștergere; dreptul de a restricționa prelucrarea; dreptul la portabilitatea datelor; dreptul la obiecții; dreptul de a nu fi supus procesului de luare a deciziilor automate, inclusiv profilarea. În ansamblu, drepturile de care fiecare individ va beneficia în cadrul GDPR sunt aceleași cu cele ale legislației actuale, dar cu unele îmbunătățiri semnificative. Dacă avem deja implementate proceduri prin care li se oferă clienților drepturile lor, atunci trecerea la GDPR ar trebui să fie relativ ușoară. Este un moment bun pentru a ne verifica procedurile și pentru a afla cum am reacționa dacă cineva ne solicită să ștergem datele personale, de exemplu. Avem sisteme care ne pot ajuta să localizăm și să ștergem datele, atunci când primim o solicitare fermă? Cine va lua deciziile privind ștergerea? Una dintre noutățile GDPR este Dreptul la portabilitatea datelor. Acest drept se aplică numai: datelor personale pe care o persoană le-a furnizat unui operator; în cazul în care prelucrarea se face pe baza consimțământului persoanei fizice sau pentru executarea unui contract; când prelucrarea este efectuată prin mijloace automate. Ar trebui să ne gândim dacă trebuie să vă revizuim procedurile și să efectuăm modificări. La fiecare solicitare primită, va trebui să furnizăm datele personale într-o formă structurată și lizibilă, utilizată în mod obișnuit. Este important să elaborăm procese pentru gestionarea drepturilor utilizatorilor de date și a consimțământului și, dacă este cazul, să definim cerințele soluției. Ca parte a acestor activități, nu trebuie să uităm de situațiile speciale în care prelucrăm date personale pentru minori, unde obținerea consimțământului și respectarea drepturilor trebuie să fie foarte transparente și cu o delimitare clară în timp.
24
Catalog GDPR Ready
24 Care sunt schimbările majore legate de consimțământ? Va trebui să vă revedeți mecanismele de obținere a consimțământului pentru a vă asigura că îndeplinesc cerințele GDPR în ceea ce privește specificul, granularitatea, claritatea, proeminența, opțiunea, documentarea și ușurința retragerii. Conform noului Regulament consimțământul trebuie să fie: Necondiționat: solicitările de consimțământ trebuie să fie separate de alți termeni și condiții. Consimțământul nu ar trebui să fie o condiție prealabilă pentru înscrierea la un serviciu decât dacă este necesar pentru acest serviciu. Opțiunea activă de înscriere: casetele de înscriere pre-bifate nu mai sunt valide utilizați casetele de opt-in, adică de bifare explicită a utilizării datelor personale pentru un anumit scop. Granular: oferă opțiuni granulare pentru a consimți separat pentru diferitele tipuri de procesare ori de câte ori este cazul. Atribuit: trebuie să fie ușor și clar atribuit organizației noastre și oricărei terțe părți care necesită consimțământ Documentat: trebuie să păstrăm toate înregistrările care pot demonstra scopul pentru care am obținut consimțământul persoanei, inclusiv ceea ce li sa spus și condițiile pentru care au fost consimțite. Ușor de retras: trebuie să explicăm oamenilor că au dreptul să-și retragă consimțământul în orice moment și cum pot să facă acest lucru. Retragerea trebuie să fie la fel de facilă ca și acordarea consimțământului. Nu există un dezechilibru în relație: consimțământul nu va fi acordat în mod liber în cazul în care există un dezechilibru în relația dintre persoană și operator - acest lucru va face consimțământul deosebit de dificil pentru autoritățile publice și pentru angajatorii care ar trebui să caute o bază legală alternativă.
25 Putem continua să folosim consimțământul existent? În acest moment, nu avem obligația de a «repara» automat sau de a actualiza toate consimțămintele obținute din relațiile anterioare cu persoanele vizate. Dar este foarte important să verificăm în detaliu procesele și înregistrările anterioare pentru a ne asigura că acordul existent corespunde standardului GDPR.
www.agora.ro a.ro PRIMA TA SURSĂ ÎN TEHNOLOGIA INFORMAŢIEI ŞI COMUNICAŢIILOR CAŢIILOR
25
Catalog GDPR Ready
Considerentul 171 din GDPR spune clar că putem continua să ne bazăm pe orice consimțământ existent care a fost acordat în conformitate cu cerințele GDPR și nu este nevoie să solicităm un nou consimțământ. Cu toate acestea, va trebui să fim siguri că solicitările existente de consimțământ au îndeplinit cerințele GDPR și că documentația este corespunzătoare. Va trebui, de asemenea, să punem în aplicare mecanismele conforme pentru ca persoanele să își poată retrage ușor consimțământul. Pe de altă parte, în cazul în care consimțământul existent nu se aliniază la standardele GDPR sau este slab documentat, va trebui să obținem un nou consimțământ și să identificăm o bază legală diferită pentru prelucrarea în continuare a datelor existente. În mod curent, pentru aceste operațiuni se folosește o lista de verificare a consimțământului care stabilește pașii pe care trebuie să îi urmăm pentru a căuta consimțământul valabil în baza GDPR. Această listă de verificare ne poate ajuta, de asemenea, să revizuim autorizațiile existente și să decidem dacă îndeplinesc standardul GDPR și să solicităm un nou consimțământ, dacă este necesar.
26 De ce trebuie să definim perioada de retenție a datelor? GDPR stabilește cerințe privind limitarea volumului și a timpului de stocare a datelor, dar nu ne oferă perioadele. Practica recomandă ca durata de păstrare a datelor personale să fie definite pentru o perioadă maximă de timp. Pentru a nu face acest lucru prea complicat, cel mai bine este să ne bazăm pe menținerea scopurilor de procesare, marcând excepțiile numai dacă este necesar. Apoi putem defini cerințele pentru un proces sau un instrument de ștergere sau anonimizare a acestor date la sfârșitul perioadei de păstrare. Se recomandă ca această definire să fie făcută cât mai devreme în procesul de stabilire a politicilor de date, chiar dacă nu știm de la bun început care este perioada de reținere.
27 De ce avem nevoie de notificări și politici de confidențialitate? Un alt aspect important al implementării GDPR este comunicarea informațiilor privind confidențialitatea datelor personale. Este absolut necesar să revizuim notificările noastre actuale privind confidențialitatea și să punem în aplicare un plan pentru a face schimbările necesare în timp pentru implementarea GDPR. Atunci când colectăm date personale, trebuie să oferim oamenilor anumite informații, cum ar fi identitatea noastră și cum intenționăm să le utilizăm informațiile. Acest lucru se face, de obicei, printr-o notificare privind confidențialitatea. Conform GDPR există câteva lucruri suplimentare pe care trebuie să le spunem persoanelor vizate. De exemplu, va trebui să le explicăm baza noastră legală pentru prelucrarea datelor, perioadele de păstrare a datelor și să le explicăm drepturile pe care le au. GDPR cere ca informațiile să fie furnizate în limbaj concis, ușor de înțeles și clar.
26
Catalog GDPR Ready
Trebuie să ne pregătim notificările și politicile de confidențialitate în acord cu informațiile pe care le solicităm sau colectăm, completând procesul de prelucrare a înregistrărilor, baza legală a procesării și perioada de retenție a datelor. Este important modul în care vom pune aceste informații la dispoziția persoanelor vizate, încă din momentul colectării datelor. Indiferent de canalul de comunicare, ar trebui să structurăm informația pe mai multe nivele, astfel încât persoana vizată să acceseze nivelul de detaliu pe care îl preferă. Consimțământul trebuie să fie întotdeauna în avans. Va trebui, de asemenea, să documentăm toate cerințele de notificare și pentru responsabilitățile terților.
28 Ce este Analiza de Risc? Orice proiect de conformitate GDPR trebuie să aibă în vedere factorii de risc asociați fiecărei activități de business și fiecărei operațiuni de procesare a datelor personale. Prioritățile în abordare sunt evident legate de rezolvarea situațiilor cu riscul cel mai mare. În plus, eforturile de punere în aplicare a noilor cerințe privind protecția datelor vor fi mai bine alocate. Analiza riscurilor ar trebui să se concentreze pe identificarea activităților de prelucrare care prezintă cel mai mare risc pentru activitatea companiei și drepturile persoanelor vizate. Pe baza rezultatelor analizei de risc, vom putea gândi un proiect strategic brut bazat pe un plan de riscuri pentru punerea în aplicare a noilor standarde de protecție a datelor personale. În mod normal analizele de risc trebuie să parcurgă următoarele etape: Analiza motivelor, scopului și a utilizatorilor care au acces la o anumită etapă de procesare; Studierea documentelor de referință; Metodologii de evaluare, tratare și asumare a riscurilor; Evaluarea riscului Criterii de acceptare a riscului Abordarea riscului Revizuiri periodice asupra evaluării și tratării riscurilor Conturarea planului de aplicabilitate și tratare a riscurilor
29 Ce metodologii de evaluare a riscului putem folosi? Există deja o serie întreagă de metodologii de evaluare a riscului. Nu există rețete predefinite. Noi va trebui să alegem metodologia cea mai adecvată pentru nevoile organizației, care poate să fie bazată pe o listă de activități, un model care se bazează pe fundamentul ISO27001 sau sesiuni de brainstorming ale echipei de proiect. Fiecare risc va fi apreciat cu un scor, corespunzător nivelului de severitate. Iată un model de evaluare tabelară:
27
Catalog GDPR Ready
NR
DESCRIERE
SEVERITATE
RISK-001 Nu există o politică de securitate
Critică
RISK-002 Securitatea informației neinclusă în nicio politică
Medie
RISK-003
Controlul accesului la serverul X ce stochează datele este insuficient
Ridicată
RISK-004 Control acces: file server fără control granular al utilizatorului
Medie
RISK-005 Scopurile nu au fost definite cu claritate
Critică
RISK-006 Nu există contracte cu procesatorii
Critică
După aceasta trebuie să descriem ce măsuri au fost implementate prin raportare la fiecare dintre riscurile identificate. O situație frecventă este apariția unor riscuri care nu au putut fi identificate din primele faze ale analizei, considerate riscuri reziduale și care trebuie și ele abordate conform aceleiași proceduri. Rezultatele analizei de risc și ale analizei DPIA trebuie discutate și eventual prezentate de DPO la nivel managerial, pentru a ne asigura că avem sprijinul necesar, dar mai ales că există bugetul pentru implementarea celor mai adecvate soluții de reducere a riscurilor.
30 Ce este Data Protection Impact Assessment (DPIA)? Cum protecția datelor trebuie gândită acum „by design”, fiind proiectată în mod implicit odată cu sistemele de procesare, pot apărea o multitudine de situații în care se recomandă evaluarea de impact asupra protecției datelor. O bună practică pentru noile tehnologii și procese este de a evalua dacă prelucrarea are un „risc ridicat”, dacă aduce atingere drepturilor persoanelor vizate și dacă acest risc poate fi redus sau evitat, de exemplu prin pseudonimizare. Evaluările de impact sunt absolut necesare în cazul în care există o prelucrare automată și prelucrarea unor categorii speciale de date pe scară largă. Evaluarea impactului privind protecția datelor (DPIA) – impropriu echivalat uneori cu Privacy Impact Assessment (PIA), reprezintă un instrument care poate ajuta organizațiile să identifice cea mai eficientă modalitate de a se conforma obligațiilor de protecție a datelor și de a răspunde așteptărilor individuale de confidențialitate. O evaluare de impact eficientă va permite organizațiilor să identifice și să remedieze problemele într-un stadiu incipient, reducând riscurile, costurile asociate și deteriorarea reputației, legată de apariția oricărui incident. Evaluarea DPIA este totodată parte integrantă a unei abordări privind confidențialitatea prin design. Punctele cheie ale unei astfel de evaluări sunt: DPIA este un proces care ajută organizațiile să identifice și să minimizeze riscurile de confidențialitate ale proiectelor sau politicilor noi; Efectuarea unei evaluări de impact implică lucrul cu oamenii din organizație, dar și cu partenerii, pentru a identifica și a reduce riscurile de confidențialitate;
28
Catalog GDPR Ready Evaluarea ne ajuta la identificarea unor potențiale probleme într-un stadiu cât mai incipient, când remedierea poate să fie mai simplă și mai puțin costisitoare; Realizarea unei evaluări de impact asupra confidențialității ajută organizațiile să elaboreze și să adopte cele mai bune politici de îmbunătățire a relațiilor dintre organizații și indivizi.
31 Când facem o evaluare DPIA? În acord cu bunele practici, trebuie să efectuăm o DPIA atunci când: utilizarea noilor tehnologii impune asumarea unui anumit grad de risc; prelucrarea este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor. Procesarea care poate duce la un risc ridicat include, dar nu se limitează la acestea: activități de prelucrare sistematice și extinse, inclusiv profilarea; prelucrări în care deciziile care au efecte juridice - sau efecte similare, asupra persoanelor fizice; prelucrarea pe scară largă a unor categorii speciale de date sau date cu caracter personal în legătură cu condamnările sau infracțiunile penale. În general, trebuie avute în vedere orice activități care includ prelucrarea unor cantități considerabile de date cu caracter personal la nivel regional, național sau supranațional, care afectează un număr mare de indivizi și care implică un risc ridicat pentru drepturi și libertăți.
32 Ce informații ar trebui să conțină DPIA? Orice evaluare de impact a procesării de date personale trebuie să conțină: descrierea operațiunilor de prelucrare și a scopurilor, inclusiv (dacă este cazul) a intereselor legitime urmărite de operator; evaluarea necesității și proporționalității procesării în raport cu scopul; evaluarea riscurilor pentru persoane fizice; măsurile luate pentru a reduce riscul, inclusiv securitatea și pentru a demonstra că vă conformați; numărul proiectelor similare care pot fi vizate de aceeași evaluare.
33 Care sunt beneficiile unei evaluări de impact asupra protecției datelor? Realizarea unei evaluări de impact pentru protecția datelor nu este o obligație a persoanei desemnate ca DPO. Acesta este o activitate de echipă, cu participanți din toate liniile de business. DPO poate coordona procesul de evaluare, poate face recomandări și trebuie să asigure alinierea la cerințele de conformitate. După elaborare, rolul DPO este
29
Catalog GDPR Ready
CIPP/E
CIPM
'DWD 3URWHFWLRQ 2ɝ FHU '32 7UDLQLQJ %XQGOH )RUPDUH ŊL FHUWLȴ FDUH Rȴ FLDOÅ Ζ$33 *HQHUDO 'DWD 3URWHFWLRQ 5HJXODWLRQ *'35 VROLFLWÅ QXPHURDVHORU RUJDQL]DĥLL VÅ QXPHDVFÅ XQ 'DWD 3URWHFWLRQ 2ɝ FHU '32 ΖQWHUQDWLRQDO $VVRFLDWLRQ RI 3ULYDF\ 3URIHVVLRQDOV Ζ$33 HVWLPHD]Å FÅ YD ȴ QHYRLH GH PDL PXOW GH GH '32 °Q GHFXUVXO OXQLORU YLLWRDUH 6XQWHĥL SUHJÅWLĥL SHQWUX SR]LĥLD GH '32" )LH FÅ DELD IDFL SULPXO SDV °Q DFHDVWÅ GLUHFĥLH ȴ H FÅ HŊWL SUHJÅWLW SHQWUX FDOLȴ FDUHD FD 'DWD 3URWHFWLRQ 2ɝ FHU 'HORLWWH HVWH DLFL SHQWUX D WH DMXWD SH SDUFXUVXO DFHVWXL GUXP
ΖQIRUPDĥLL JHQHUDOH
3UHJÅWLUHD LQFOXGH GLYHUVH VFHQDULL GH DIDFHUL SUHFXP ŊL 3DFKHWXO GH IRUPDUH SHQWUX LQVWUXPHQWH SUDFWLFH SH FDUH OH 'DWD 3URWHFWLRQ 2ɝ FHU VH SRĥL OXD DFDVÅ SHQWUX XWLOL]DUHD GHVIÅŊRDUÅ SH SDUFXUVXO D SDWUX LPHGLDWÅ OD ORFXO GH PXQFÅ ]LOH FRQVHFXWLYH ȴ LQG DOFÅWXLW ΙQ ȴ HFDUH ]L YHL SULPL GLYHUVH GLQ GRXÅ FXUVXUL LQGHSHQGHQWH VIDWXUL FDUH WH YRU DMXWD XOWHULRU &Ζ33 ( &Ζ30 GDU F¤QG OD H[DPHQ DFHVWH GRXÅ FXUVXUL VXQW OXDWH 'HORLWWH HVWH 2ɝ FLDO $XWKRUL]HG °PSUHXQÅ HOH IRUPHD]Å FHD PDL Consultant Training Partner EXQÅ FRPELQDĥLH °Q YHGHUHD SHQWUX ΖQWHUQDWLRQDO $VVRFLDWLRQ SUHJÅWLULL SHQWUX SR]LĥLD GH 'DWD RI 3ULYDF\ 3URWHFWLRQ 2ɝ FHU '32
30
3URIHVVLRQDOV Ζ$33 RIHULQG DVWIHO VHVLXQL Rȴ FLDOH GH WUDLQLQJ FDUH LQFOXG ȏ 0DWHULDOH GH FXUV Rȴ FLDOH ȏ ΖQVWUXFWRULL DXWRUL]DĥL FX H[SHULHQĥÅ SURIHVLRQDOÅ
ȏ 9RXFKHUH LQWHJUDOH VXVĥLQHUH H[HPHQH GH FHUWLȴ FDUH &Ζ33 ( &Ζ30
ȏ 6HW °QWUHEÅUL SUHJÅWLUH SHQWUX H[DPHQH ȏ 7D[D GH PHPEUX Ζ$33 SHQWUX DQ
Catalog GDPR Ready&HUWLȴHG ΖQIRUPDWLRQ 3ULYDF\
&HUWLȴHG ΖQIRUPDWLRQ 3ULYDF\ 3URIHVVLRQDO (XURSH &Ζ33 (
0DQDJHU &Ζ30
• ΖPSOHPHQWDUHD SURWHFĥLHL GDWHORU °QWU R RUJDQL]DĥLH $FRSHUÅ Ȍ&80ȋ XO SULYLQG SURWHFĥLD GDWHORU GLQWU R SHUVSHFWLYÅ PDQDJHULDOÅ
• /HJLOH ŊL UHJOHPHQWÅULOH ED]DWH SH *'35 $FRSHUÅ Ȍ&(ȋ XO SULYLQG SURWHFĥLD GDWHORU °Q (XURSD
DESCRIERE
DESCRIERE
3ULQFLSLLOH SULYLQG 'UHSWXO OD 9LDĥÅ 3ULYDWÅ ŊL 3URWHFĥLD 'DWHORU °Q (XURSD DFRSHUÅ UHJOHPHQWÅULOH HVHQĥLDOH SDQ HXURSHQH ŊL QDĥLRQDOH GH SURWHFĥLH D GDWHORU SUHFXP ŊL FHOH PDL EXQH SUDFWLFL VWDQGDUG SHQWUX FRQIRUPDUHD VRFLHWÅĥLL FX DFHVWH UHJOHPHQWÅUL &HL FDUH XUPHD]Å DFHVW FXUV YRU UHXŊL VÅ °QĥHOHDJÅ PRGHOXO HXURSHDQ SULYLQG SURWHFĥLD GDWHORU WHUPLQRORJLD FKHLH GH FRQȴGHQĥLDOLWDWH ŊL FRQFHSWHOH SUDFWLFH SULYLQG SURWHFĥLD GDWHORU SHUVRQDOH ŊL D ȵX[XULORU GH GDWH WUDQVIURQWDOLHUH &XUVXO HVWH ED]DW SH QRPHQFODWXUD SHQWUX SURJUDPXO GH FHUWLȴFDUH Ζ$33 DFUHGLWDW $16Ζ Ȃ &HUWLȴHG ΖQIRUPDWLRQ 3ULYDF\ 3URIHVVLRQDO (XURSH &Ζ33 (
3ULQFLSLLOH 0DQDJHPHQWXOXL 3URJUDPXOXL GH 3URWHFĥLH D 'DWHORU HVWH PRGXO SUDFWLF GH SUHJÅWLUH SULYLQG LPSOHPHQWDUHD XQXL FDGUX GH OXFUX DO XQXL SURJUDP FRQȴGHQĥLDOLWDWH JHVWLRQDUHD FLFOXOXL GH YLDĥÅ RSHUDĥLRQDO DO SURJUDPXOXL GH FRQȴGHQĥLDOLWDWH ŊL VWUXFWXUDUHD XQHL HFKLSH GH SURWHFĥLH D GDWHORU LQIRUPDWH ŊL °QDOW SHUIRUPDQWH &HL FDUH XUPHD]Å DFHVW FXUV YRU FÅSÅWD DELOLWÅĥLOH QHFHVDUH SHQWUX D DGPLQLVWUD SURWHFĥLD GDWHORU °Q FDGUXO XQHL RUJDQL]DĥLL SULQ SURFHVH ŊL WHKQRORJLL Ȃ LQGLIHUHQW GH MXULVGLFĥLH VDX LQGXVWULH &XUVXO HVWH ED]DW SH QRPHQFODWXUD SHQWUX SURJUDPXO GH FHUWLȴFDUH Ζ$33 DFUHGLWDW $16Ζ Ȃ &HUWLȴHG ΖQIRUPDWLRQ 3ULYDF\ 0DQDJHU &Ζ30
&21ĤΖ187
&21ĤΖ187
0RGXOXO /HJLOH SULYLQG 3URWHFĥLD Datelor 0RGXOXO Date cu Caracter Personal 0RGXOXO &RQWURORUL ŊL 3URFHVDWRUL 0RGXOXO 3UHOXFUDUHD GDWHORU FX FDUDFWHU SHUVRQDO 0RGXOXO 3URYL]LRQDUHD LQIRUPDĥLLORU 0RGXOXO 'UHSWXULOH SHUVRDQHORU YL]DWH 0RGXOXO 6HFXULWDWHD 3URFHVÅULL 0RGXOXO 5ÅVSXQGHUHD 0RGXOXO 7UDQVIHUXUL ΖQWHUQDĥLRQDOH GH 'DWH 0RGXOXO 6XSUDYHJKHUHD ŊL ΖPSOHPHQWDUHD 0RGXOXO &RQIRUPLWDWH
0RGXOXO /HJLOH SULYLQG 3URWHFĥLD Datelor 0RGXOXO Date cu Caracter Personal 0RGXOXO &RQWURORUL ŊL 3URFHVDWRUL 0RGXOXO 3UHOXFUDUHD GDWHORU FX FDUDFWHU SHUVRQDO 0RGXOXO 3URYL]LRQDUHD LQIRUPDĥLLORU 0RGXOXO 'UHSWXULOH SHUVRDQHORU YL]DWH 0RGXOXO 6HFXULWDWHD 3URFHVÅULL 0RGXOXO 5ÅVSXQGHUHD 0RGXOXO 7UDQVIHUXUL ΖQWHUQDĥLRQDOH GH 'DWH 0RGXOXO 6XSUDYHJKHUHD ŊL ΖPSOHPHQWDUHD 0RGXOXO &RQIRUPLWDWH
'(7$/ΖΖ &20(5&Ζ$/( 9HQGRU 1XPH FXUV IAPP
'XUDWÅ
'DWD 3URWHFWLRQ 2ɝFHU '32 7UDLQLQJ %XQGOH _ ]LOH &Ζ33 ( &Ζ30 FHUWLȴFDUH Ζ$33 LQFOXVÅ
3UHĥ SDUWLFLSDQW IÅUÅ 79$
(85
3(5Ζ2$'( 25*$1Ζ=$5(
Ζ1)250$ĤΖΖ $'ΖĤΖ21$/( ʼnΖ Ι16&5Ζ(5Ζ
• • • • •
*HRUJH 'DQLOLXF .QRZOHGJH 0DQDJHU 'HORLWWH $FDGHP\ 0RELO ( PDLO JGDQLOLXF#GHORLWWHFH FRP
$SU %XFXUHŊWL (1
$SU ΖDŊL 52
$SU &OXM 1DSRFD 52
0DL %XFXUHŊWL 52
ΖXQ %XFXUHŊWL 52
RO OLYUDUH °Q OLPED URP¤QÅ EN OLYUDUH °Q OLPED HQJOH]Å
31
Catalog GDPR Ready
acela de a ajuta organizația să folosească evaluarea de impact ca pe un instrument de conformare cu protecția datelor personale. Chiar dacă efectuarea unui studiu de impact nu este o cerință legală, în anumite conjuncturi, autoritatea națională sau teritorială de supraveghere poate adresa o cerere oricărei organizații să realizeze o evaluare DPIA. Totodată, o evaluare de impact DPIA poate fi modul cel mai eficient pentru o organizație de a demonstra autorității de supraveghere modul în care prelucrarea datelor personale respectă cerințele de securitate și confidențialitate. În același timp, posesorii datelor personale pot fi asigurați că organizațiile care procesează informațiile lor urmează cele mai bune practici de securitate și confidențialitate. Un proiect care a fost supus unei evaluări DPIA ar trebui să fie garantat ca un proces care are cele mai puțin ridicate riscuri de afectare intruzivă a datelor personale. Un al doilea beneficiu pentru persoanele fizice este acela că DPIA ar trebui să se asigure transparența în procesul de comunicare și de cunoaștere a modului în care sunt utilizate informațiile personale. Realizarea și publicarea unui raport de evaluare DPIA va ajuta orice organizație să construiască relații de încredere cu oamenii care folosesc serviciile lor. Acțiunile întreprinse în timpul și după ce procesul de evaluare pot îmbunătăți experiența organizațiilor în relațiile de înțelegere cu clienții lor. Nu trebuie desconsiderate beneficiile financiare pe care le poate aduce efectuarea unei evaluări de impact. Orice identificarea a unei probleme, într-o fază cât mai timpurie, va necesita o soluție mai puțin costisitoare. O evaluare de impact poate reduce, de asemenea, costurile unui proiect, prin minimizarea cantității de informații colectate, procesate și stocate. În general, utilizarea consistentă a unei evaluări de impact va spori gradul de conștientizare a problemelor de confidențialitate și de protecție a datelor în cadrul unei organizații. Asta ne asigură că toți cei implicați în procesul de prelucrare sunt conștienți de importanța înțelegerii și păstrării acestor norme, încă din primele etape ale unui proiect de implementare GDPR.
34 Cum notificăm apariția unei breșe de securitate? Creșterea numărului de atacuri cibernetice se reflectă în obligațiile sporite privind securitatea datelor în regulament și în obligațiile paralele, precum cele conținute de Directiva privind securitatea rețelelor informatice și a datelor (Networks and Information Security – NIS). Conform Articolului 33 din GDPR va fi obligatoriu ca o organizație cu rol de operator să raporteze autorității sale de supraveghere orice breșă de securitate a datelor personale în termen de 72 de ore de la conștientizarea acesteia. Dacă această cerință nu este îndeplinită, raportul final trebuie însoțit de o explicație a întârzierii. Notificarea trebuie
32
Catalog GDPR Ready
să includă informații specifice, inclusiv o descriere a măsurilor luate pentru a soluționa breșa și pentru a atenua posibilele efecte secundare. În cazul în care breșa poate avea ca rezultat un risc ridicat pentru drepturile și libertățile persoanelor fizice, indivizii înșiși trebuie să fie contactați „fără întârzieri nejustificate”. Acest contact nu va fi necesar dacă există măsuri de protecție adecvate - în esență, criptare - pentru a elimina pericolul pentru persoanele vizate. În Articolul 33 - Notificarea unei încălcări a datelor cu caracter personal către autoritatea de supraveghere, se specifică foarte clar că: Raportarea în situația apariției unor breșe de securitate este obligatorie pentru orice operator de date personale; Operatorii trebuie să raporteze către autoritățile de supraveghere competente orice încălcare a condițiilor de siguranță fără întârzieri nejustificate; Dacă este posibil, nu mai târziu de 72 de ore de la prima conștientizare; Dacă raportarea nu este făcută în termen de 72 de ore, trebuie furnizată o justificare a întârzierii; Nu este necesară notificarea cazurilor în care încălcarea este «puțin probabil să ducă la un risc pentru drepturile și libertățile» persoanelor vizate; Dacă breșa de securitate este constatată de către un procesator de date, acesta trebuie să notifice operatorul cu care colaborează fără întârzieri nejustificate.
35 Ce informații trebuie să conțină notificarea unei breșe de securitate? Elementele esențiale care trebuie să se regăsească într-o notificare se referă la: natura încălcării datelor cu caracter personal; categoriile și numărul aproximativ al persoanelor implicate; categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză; numele și datele de contact ale responsabilului cu protecția datelor (în cazul în care organizația dvs. dispune de unul) sau orice alt punct de contact de unde pot fi obținute mai multe informații; descriere a consecințelor probabile ale încălcării datelor cu caracter personal; descriere a măsurilor luate sau propuse a fi luate pentru a face față încălcării datelor cu caracter personal dacă este cazul, o descriere a măsurilor luate pentru a atenua eventualele efecte adverse.
36 Ce trebuie să pregătim pentru raportarea breșelor? Nimeni nu își dorește asta, dar o bună pregătire pentru situațiile de urgență implică și stabilirea clară a responsabilităților și procedurilor de urmat. Cum ne putem pregăti mai bine pentru raportarea încălcărilor de securitate?
33
Catalog GDPR Ready În primul rând ar trebui să ne asigurăm că angajații companiei înțeleg ce reprezintă o încălcare a securității datelor și că aceasta este mai mult decât o pierdere de date cu caracter personal; Apoi, ar trebui să vedem dacă există o procedură de raportare internă a breșelor. Acest lucru va facilita luarea deciziilor cu privire la necesitatea notificării autorității de supraveghere sau a persoanelor vizate; Nu în ultimul rând, având în vedere perioadele scurte de timp pentru raportarea unei breșe, este important să avem proceduri robuste de detectare a incidentului, investigații și proceduri de raportare internă.
37 Când nu suntem obligați să notificăm persoanele vizate? În Articolul 34: Informarea persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal, Alineatul 3 regulamentul stipulează că informarea persoanei vizate nu este necesară în cazul în care este îndeplinită oricare dintre următoarele condiţii: operatorul a implementat măsuri de protecţie tehnice şi organizatorice adecvate, iar acestea au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securităţii datelor cu caracter personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea; operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile şi libertățile persoanelor vizate nu mai este susceptibil să se materializeze; informarea ar necesita un efort disproporționat. În această situație, se efectuează în loc o informare publică sau se ia o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace. De pe site-ul ANSPDCP poate fi descărcat „Ghidul privind notificarea încălcărilor de Securitate” [3] , un instrument deosebit de util în implementarea condițiilor impuse de GDPR elaborate de Grupul de Lucru Articolul 29. Tot pe site-ul Autorității Naționale pot fi accesate și consultate formularele utilizate deja în notificarea breșelor de securitate conform legislației actuale. Dacă nu este soluţionată la timp şi într-un mod adecvat, o încălcare a securităţii datelor cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau fraudă de identitate, pierdere financiară, inversarea neautorizată a pseudonimizării, compromiterea reputaţiei, pierderea confidenţialităţii datelor cu caracter personal protejate prin secret profesional sau orice alt dezavantaj semnificativ de natură economică sau socială adus persoanei fizice în cauză.
34
Catalog GDPR Ready
38 Ce înseamnă Data Protection by Design and by Default? În cadrul GDPR, avem ca obligație generală de a implementa măsuri tehnice și organizatorice care să arate că am luat în considerare și că integrăm protecția datelor în activitățile de procesare. Confidențialitatea prin design este o abordare care a fost de mult timp și va fi întotdeauna o cerință implicită a principiilor pe care toți operatorii de date personale și le asumă în mod constant. Confidențialitatea prin design este o abordare a proiectelor care promovează respectarea vieții private și protecția datelor încă de la început, de la proiectarea bazelor de date și a sistemelor de calcul. Din nefericire, în practică s-a văzut că aceste aspecte sunt de cele mai multe ori asumate ca o gândire ulterioară sau ignorate cu totul. Deși această abordare nu a fost o cerință esențială a Legii privind protecția datelor, prin includerea sa distinctă în noul Regulament, ea va ajuta organizațiile să își respecte obligațiile care le revin în temeiul legislației. GDPR încurajează organizațiile să se asigure că protecția vieții private și a datelor reprezintă un element-cheie în primele etape ale oricărui proiect și apoi pe tot parcursul ciclului său de viață. Iată câteva exemple: crearea de noi sisteme IT pentru stocarea sau accesarea datelor cu caracter personal; elaborarea de reguli, politici sau strategii care au implicații asupra vieții private; lansarea unei inițiative de partajare a datelor; folosirea seturilor de date pentru alte scopuri, decât cele avute în vedere inițial. O abordare privind confidențialitatea prin design este în primul rând un instrument esențial în reducerea riscurilor de confidențialitate și de construire a încrederii. Designul proiectelor, proceselor, produselor sau sistemelor plecând de la premisa asigurării confidențialității încă de la început poate aduce beneficii care includ: Problemele potențiale sunt identificate într-un stadiu incipient, când abordarea acestora va fi adesea mai simplă și mai puțin costisitoare; Creșterea gradului de conștientizare a vieții private și a protecției datelor într-o organizație; Organizațiile sunt mult mai probabil dispuse să-și îndeplinească obligațiile legale și mai puțin susceptibile de a încălca Legea privind protecția datelor; Este puțin probabil ca acțiunile să fie invazive și să aibă un impact negativ asupra persoanelor. Conform Articolului 25, operatorii trebuie să adopte măsuri tehnice și organizatorice adecvate pentru a se asigura că, în mod implicit, sunt prelucrate numai datele cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Această obligație se aplică: cantității de date cu caracter personal colectate; amplorii prelucrării acestora;
35
Catalog GDPR Ready perioadei de stocare asumate; accesibilității datelor personale. Astfel de măsuri trebuie să garanteze în mod special faptul că, în mod prestabilit, datele cu caracter personal nu sunt accesibile fără intervenția unei persoanei fizice sau a unui număr nedeterminat de persoane fizice. Cu alte cuvinte, toți operatorii trebuie să adopte reguli clare, bazate pe politici de acces la datele cu caracter personal.
39 Ce este Privacy by Design? Puțini știu că „Privacy by Design” este un concept care a fost dezvoltat încă de la sfârșitul anilor ’90 de către dr. Ann Cavoukian - comisar pentru informare și protecția vieții private din Ontario, Canada. Confidențialitatea prin design avansează opinia că viitorul vieții private nu poate fi asigurat numai prin respectarea legislației și a cadrelor de reglementare. Asigurarea confidențialității trebuie să devină un mod de funcționare implicit al unei organizații. Cadrul „Confidențialitatea prin design” folosește o abordare caracterizată prin măsuri proactive mai degrabă decât reactive. Ea anticipează și împiedică evenimentele invazive de confidențialitate înainte ca acestea să se întâmple. Confidențialitatea prin design nu așteaptă să se materializeze riscurile de confidențialitate și nici nu oferă remedii pentru soluționarea încălcărilor vieții private după ce au avut loc. Ci are ca scop prevenirea apariției acestora. Pe scurt, confidențialitatea prin design vine înainte de fapte, nu după. Seriozitatea, claritatea și mai ales larga capacitate de adopție a programului Privacy by Design a determinat Comisia Europeană să îl încorporeze ca abordare în Regulamentul general privind protecția datelor. Respectând această abordare, operatorii de date și proiectanții de sisteme informatice pot să își elaboreze ofertele prin minimizarea datelor colectate și alegerea celor mai eficiente setări de protecție a datelor. Prin respectarea puternicului principiu al limitării scopului, Se garantează faptul că vor fi prelucrate numai datele necesare pentru furnizarea unui serviciu.
40 Cele 7 principii fundamentale Privacy by Design De la adoptarea acestei rezoluții internaționale, cele 7 principii fundamentale ale confidențialității prin design au fost traduse în 31 de limbi oficiale și s-au dovedit o resursă valoroasă pentru organizații din întreaga lume. Obiectivele de confidențialitate prin design - asigurarea protecției vieții private și obținerea controlului personal asupra informațiilor proprii și, pentru organizații, obținerea unui avantaj competitiv durabil pot fi realizate prin respectarea celor 7 Principii Fundamentale: Proactiv nu Reactiv – Adică prevenire, nu remediu. Abordarea privind
1
confidențialitatea prin design se caracterizează prin măsuri proactive mai degrabă
36
Catalog GDPR Ready
decât reactive. Ea anticipează și împiedică evenimentele invazive de confidențialitate, înainte ca acestea să se întâmple. Confidențialitatea prin design nu așteaptă să se materializeze riscurile de confidențialitate și nici nu oferă remedii pentru soluționarea încălcărilor vieții private după ce acestea au avut loc. Are ca scop prevenirea apariției acestora. Pe scurt, confidențialitatea prin design vine înainte de fapte, nu după; Confidențialitatea ca setare implicită – Singurele care ne pot face să putem fi
2
siguri de un lucru sunt regulile implicite! Confidențialitatea prin design urmărește
să asigure un nivel maxim de confidențialitate, asigurând protecția automată a datelor cu caracter personal în orice sistem IT sau practică de afaceri. Dacă un individ nu face nimic, intimitatea lui rămâne în continuare intactă. Nu este necesară nicio acțiune din partea individului pentru a-și proteja confidențialitatea – aceasta este implicit protejată de sistem; Confidențialitatea încorporată în design – Astfel confidențialitatea este
3
încorporată în designul și arhitectura sistemelor informatice și a practicilor de afa-
ceri. Nu este poziționată ca un add-on. Doar așa confidențialitatea devine o componentă esențială a funcțiilor de bază furnizate. Confidențialitatea este parte integrantă a sistemului, fără a diminua funcționalitatea; Funcționalitatea completă – Se urmărește o adaptare a tuturor intereselor
4
și obiectivelor legitime într-o manieră profitabilă de tip „sumă pozitivă”, nu
printr-o abordare de tip „rezultat cumulat zero”, în cazul în care sunt adoptate compromisuri inutile. Confidențialitatea prin design evită pretenția unor dihotomii false, cum ar fi confidențialitatea vs. securitatea - demonstrând că este posibil să obținem ambele. Securitatea end-to-end - protecția completă, pe toată durata ciclului de viață.
5
Confidențialitatea prin proiect, care a fost încorporată în sistem înainte de primirea
primului element de informație, se extinde în mod sigur pe întreaga durată de viață a datelor implicate – garantând intimitate, de la început până la sfârșit. Acest lucru ne asigură că toate datele sunt păstrate în siguranță și apoi distruse în siguranță la sfârșitul procesului, în timp util. Vizibilitate și transparență - Confidențialitatea prin design urmărește să asi-
6
gure toate părțile interesate că, indiferent de practica comercială sau tehnologia
implicată, funcționează în conformitate cu promisiunile și obiectivele menționate, supuse verificării independente. Componentele și operațiunile sale rămân vizibile și transparente, atât pentru utilizatori, cât și pentru furnizori. Cu alte cuvinte „Crede și ține minte, dar nu uita să și verifici…” Respectarea confidențialității utilizatorilor - Mai presus de toate, confidențialitatea
7
prin proiectare cere arhitecților și operatorilor să protejeze interesele individului,
oferind astfel de măsuri care susțin implicațiile puternice de confidențialitate, recomandă notificarea corespunzătoare și respectarea opțiunilor cele mai prietenoase pentru utilizator. Țineți-l pe utilizator de partea voastră.
37
Catalog GDPR Ready
41 Ce spune principiul transferului de date? GDPR impune restricții privind transferul de date cu caracter personal în afara Uniunii Europene, țărilor terțe sau organizațiilor internaționale. Aceste restricții sunt în vigoare pentru a se asigura că nivelul de protecție a persoanelor acordat de GDPR nu este subminat. În Articolul 44 – „Principiul general al transferurilor” se specifică faptul că: „Orice transfer de date cu caracter personal care sunt supuse procesării sau care sunt destinate prelucrării după transferul într-o țară terță sau într-o organizație internațională are loc numai dacă, sub rezerva celorlalte dispoziții din prezentul regulament, sunt respectate condițiile stabilite de către operator și de către procesator, inclusiv pentru transferurile ulterioare de date cu caracter personal din țara terță sau de la o organizație internațională către o altă țară terță sau la o altă organizație internațională. Toate dispozițiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecție a persoanelor fizice garantat prin prezentul regulament nu este subminat.” Ce este important să reținem este că orice transfer internațional de date cu caracter personal de către un operator sau un procesator are loc numai dacă sunt îndeplinite anumite condiții: Transferuri pe baza adecvării; Transferuri supuse garanțiilor adecvate; Aplicabilitatea unor reguli corporative obligatorii. Toate prevederile vor fi aplicate pentru a asigura faptul că protecția persoanelor fizice nu este subminată.
42 Când se poate face transferul de date în afara Uniunii Europene? Regulamentul interzice transferul de date cu caracter personal în afara UE într-o țară terță care nu dispune de o protecție adecvată a datelor. Comisia Europeană are competența de a aproba anumite țări pentru a asigura un nivel adecvat de protecție a datelor, luând în considerare legislația privind protecția datelor în vigoare în țara respective și angajamentele internaționale ale acesteia. În Articolul 45 – „Transferuri în temeiul unei decizii privind caracterul adecvat al nivelului de protecţie”, Alineatul 1 se spune că: „Transferul de date cu caracter personal către o ţară terţă sau o organizaţie internaţională se poate realiza atunci când Comisia a decis că ţara terţă, un teritoriu ori unul sau mai multe sectoare specificate din acea ţară terţă sau organizaţia internaţională în cauză asigură un nivel de protecţie adecvat. Transferurile realizate în aceste condiţii nu necesită autorizări speciale.” Conform Specificației 103 din GDPR, Comisia poate decide că o ţară terţă oferă un nivel adecvat de protecţie a datelor, asigurând astfel securitate juridică şi uniformitate în Uniune în ceea ce priveşte ţara terţă sau organizaţia internaţională care este considerată
38
Catalog GDPR Ready
a furniza un astfel de nivel de protecţie. În aceste cazuri, transferurile de date cu caracter personal către ţara terţă sau organizaţia internaţională respectivă pot avea loc fără a fi necesar să se obţină autorizări suplimentare. În prezent, pe listă țărilor considerate de UE că pot oferi un nivel adecvat de protecție a datelor personale putem întâlni următoarele 11 state, clasificate pe zone geografice [4]. Europa: Andora, Elveția, Insulele Feroe, Guernsey, Insula Man, Jersey Orientul Mijlociu: Israel America de Nord: Canada America de Sud: Argentina și Uruguay Asia-Pacific: Noua Zeelandă. Pentru transferurile de date dintre UE și Statele Unite există acordul internațional bine cunoscut sub denumirea de EU-US Privacy Shield. Un acord de cooperare cunoscut ca EU-US Safe Harbor exista încă din anul 2000. După o evoluție destul de controversată, cu o scurtă perioadă de întrerupere datorată unor litigii internaționale, în 12 iulie 2016 Comisia Europeană recunoaște caracterul adecvat de protecție asigurat de acest acord prin Decizia 1250/ 2016.
43 Cum facem transfer către țări din afara listei? În principiu, fiecare transfer de date către o țară care nu beneficiază în mod explicit de aprobarea UE pe bază de acorduri internaționale sau condiții de adecvare se poate realiza numai după solicitarea acordului pentru transfer. Ţara terţă ar trebui să ofere garanții care să asigure un nivel adecvat de protecţie, echivalent cu cel asigurat în cadrul Uniunii. Țara terţă ar trebui să asigure o supraveghere efectivă independentă în materie de protecţie a datelor şi să prevadă mecanisme de cooperare cu autoritățile statelor membre, iar persoanele vizate ar trebui să beneficieze de drepturi efective şi opozabile şi de reparaţii efective pe cale administrativă şi judiciară. Conform Considerentului 108 din GDPR: „În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie, operatorul sau procesatorul ar trebui să adopte măsuri pentru a compensa lipsa protecţiei datelor într-o ţară terţă prin intermediul unor garanţii adecvate pentru persoana vizată. Astfel de garanţii adecvate pot consta în utilizarea regulilor corporatiste obligatorii, a clauzelor standard de protecţie a datelor adoptate de Comisie, a clauzelor standard de protecţie a datelor adoptate de o autoritate de supraveghere sau a clauzelor contractuale autorizate de o autoritate de supraveghere. Respectivele garanţii ar trebui să asigure respectarea cerinţelor în materie de protecţie a datelor şi drepturi ale persoanelor vizate corespunzătoare prelucrării în interiorul Uniunii, inclusiv disponibilitatea unor drepturi opozabile ale persoanelor vizate şi a unor căi de atac eficiente, printre care dreptul de acces la reparaţii efective pe cale administrativă sau judiciară şi dreptul de a solicita despăgubiri, în Uniune sau într-o ţară terţă. Acestea ar trebui să se refere în special
39
Catalog GDPR Ready
la respectarea principiilor generale privind prelucrarea datelor cu caracter personal: principiul protecţiei datelor începând cu momentul conceperii şi principiul protecţiei implicite a datelor.”
44 Care sunt condițiile unui transfer în siguranță? Conform Articolului 46 – „Transferuri în baza unor garanții adecvate” putem transfera date cu caracter personal în cazul în care organizația care primește datele personale a furnizat garanții de siguranță adecvate. Drepturile persoanelor trebuie să fie executorii și ca urmare a transferului trebuie să fie disponibile căi de atac efective pentru persoanele fizice. Se pot asigura garanții adecvate prin: un instrument obligatoriu din punct de vedere juridic şi executoriu între autorităţile sau organismele publice; reguli corporatiste obligatorii în conformitate cu articolul 47; clauze standard de protecţie a datelor adoptate de Comisie în conformitate cu procedura de examinare menţionată la articolul 93 alineatul (2); clauze standard de protecţie a datelor adoptate de o autoritate de supraveghere şi aprobate de Comisie în conformitate cu procedura de examinare menţionată la articolul 93 alineatul (2); un cod de conduită aprobat în conformitate cu articolul 40, însoţit de un angajament obligatoriu şi executoriu din partea operatorului sau a persoanei împuternicite de operator din ţara terţă de a aplica garanţii adecvate, inclusiv cu privire la drepturile persoanelor vizate; un mecanism de certificare aprobat în conformitate cu articolul 42, însoţit de un angajament obligatoriu şi executoriu din partea operatorului sau a persoanei împuternicite de operator din ţara terţă de a aplica garanţii adecvate, inclusiv cu privire la drepturile persoanelor vizate. Sub rezerva autorizării din partea autorităţii de supraveghere competente, garanţiile adecvate menţionate la alineatul (1) pot fi furnizate de asemenea, în special, prin: clauze contractuale între operator sau persoana împuternicită de operator şi operatorul, persoana împuternicită de operator sau destinatarul datelor cu caracter personal din ţara terţă sau organizaţia internaţională; dispoziţii care urmează să fie incluse în acordurile administrative dintre autorităţile sau organismele publice, care includ drepturi opozabile şi efective pentru persoanele vizate. Ce se întâmplă cu transferurile bazate pe evaluarea unei organizații privind adecvarea protecției? GDPR vă limitează capacitatea de a transfera date cu caracter personal în afara UE, în cazul în care aceasta se bazează numai pe propria evaluare a caracterului adecvat al
40
Catalog GDPR Ready
protecției acordate datelor cu caracter personal. Conform Articolului 84.5.c orice altă încercare de transfer, care nu se încadrează în prevederile Articolelor 44-49 este pasibilă de pedeapsa administrativa maximă. Dar ne-am obișnuit ca orice reglementare strictă să vină și cu o serie de excepții. Care sunt excepțiile acceptate pentru transferul internațional de date? Potrivit Articolului 49 „Derogări pentru situații specifice”, se poate efectua un transfer sau un set de transferuri în cazul în care transferul este: făcut cu consimțământul informat al persoanei; necesar pentru îndeplinirea unui contract între individ și organizație sau pentru măsurile precontractuale luate la cererea persoanei; necesare pentru executarea unui contract încheiat în interesul persoanei fizice între operator și o altă persoană; necesare din motive importante de interes public; necesare pentru stabilirea, exercitarea sau apărarea revendicărilor legale; necesare pentru a proteja interesele vitale ale persoanei vizate sau ale altor persoane, în cazul în care persoana vizată nu este capabilă din punct de vedere fizic sau legal să-și dea consimțământul; făcut dintr-un registru care are drept scop furnizarea de informații publicului. De reținut că primele trei derogări nu sunt valabile pentru activitățile autorităților publice în exercitarea puterilor lor publice. În fine, în cazul transferurilor de date neautorizate de dreptul Uniunii Europene, Articolul 48 din GDPR specifică faptul că orice hotărâre a unei instanţe sau a unui tribunal şi orice decizie a unei autorităţi administrative a unei ţări terţe care impun unui operator sau procesator de operator să transfere sau să divulge date cu caracter personal „poate fi recunoscută sau executată în orice fel numai dacă se bazează pe un acord internaţional, cum ar fi un tratat de asistenţă judiciară reciprocă în vigoare între ţara terţă solicitantă şi Uniune sau un stat membru”.
45 Când suntem obligați să numim un DPOr? Una dintre noutățile cu care a venit GDPR este obligativitatea numirii unui ofițer responsabil cu protecția datelor (DPO – Data Protection Officer) al cărui rol principal este de coordonare și supraveghere a implementării condițiilor de conformitate GDPR, precum și ca persoană de legătură între organizație și autoritatea de supraveghere. Deși condițiile numirii unui DPO, sarcinile și competențele acestuia sunt stipulate destul de clar în Articolele 37 – 39 din noul Regulament, importanța strategică a acestei poziții face ca subiectul să fie în centrul atenției în toate discuțiile și recomandările legate de GDPR. Potrivit GDPR, este obligatoriu ca anumiți operatori și persoane împuternicite de operatori să desemneze un ofițer de protecție a datelor (DPO). În această situație se află
41
Catalog GDPR Ready
42
Catalog GDPR Ready
43
Catalog GDPR Ready
toate autoritățile și organismele publice, indiferent de tipul datelor prelucrate, precum și celelalte organizații care monitorizează în mod sistematic și pe scară largă persoanele fizice sau prelucrează categorii speciale de date cu caracter personal pe scară largă. Chiar și în situația în care GDPR nu impune în mod expres numirea unui DPO, organizațiile pot găsi ca fiind utilă desemnarea unui DPO în mod voluntar. Grupul de Lucru Articolul 29 („WP29”) încurajează aceste eforturi voluntare. În conformitate cu Articolul 37, Alineat 1 din GDPR, trebuie să desemnăm un ofițer de protecție a datelor (DPO) dacă: suntem o autoritate publică (cu excepția instanțelor care acționează în calitatea lor judiciară); efectuăm o monitorizare sistematică, la scară largă, a persoanelor (de exemplu, urmărirea comportamentului online); facem o prelucrare la scară largă a unor categorii speciale de date sau date referitoare la condamnările penale și infracțiunile. Există însă cazuri în care un grup de organizații, cum ar fi de exemplu partenerii dintr-un lanț de distribuție, execută în mod frecvent activități comune care implică fluxuri de date ce pot fi controlate și monitorizate centralizat, la nivel de grup sau asociație de parteneri. În asemenea situații, puteți desemna un singur ofițer de protecție a datelor care să acționeze pentru un grup de organizații sau autorități publice, ținând cont de structura și dimensiunea acestora. Alineatele 2 - 4 din Articolul 37: Desemnarea responsabilului cu protecţia datelor explicitează cele mai importante astfel de cazuri: „(2) Un grup de organizații poate numi un responsabil cu protecţia datelor unic, cu condiţia ca responsabilul cu protecţia datelor să fie uşor accesibil din fiecare întreprindere. (3) În cazul în care operatorul sau persoana împuternicită de operator este o autoritate publică sau un organism public, poate fi desemnat un responsabil cu protecţia datelor unic pentru mai multe dintre aceste autorităţi sau organisme, luând în considerare structura organizatorică şi dimensiunea acestora. (4) În alte cazuri decât cele menţionate la alineatul (1), operatorul sau persoana împuternicită de operator ori asociaţiile şi alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot desemna sau, acolo unde dreptul Uniunii sau dreptul intern solicită acest lucru, desemnează un responsabil cu protecţia datelor. Responsabilul cu protecţia datelor poate să acţioneze în favoarea unor astfel de asociaţii şi alte organisme care reprezintă operatori sau persoane împuternicite de operatori.” Potrivit aceluiași Articol 37, responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor experților privind legislația și practicile privind protecția datelor și capacitatea de a îndeplini sarcinile menționate la Articolul 39. În anumite situații, agentul responsabil cu protecția datelor poate fi membru
44
Catalog GDPR Ready
al personalului operatorului sau prelucrătorului sau poate îndeplini sarcinile pe baza unui contract de servicii externalizate. Controlorul sau procesatorul trebuie să publice datele de contact ale responsabilului cu protecția datelor și să le comunice autorității de supraveghere.
46 Care este rolul unui DPO? Prin natura funcției și a împuternicirilor de care dispune, un DPO deține o poziție centrală, cu rol strategic, într-o organizație. Particularitățile și noutatea acestei poziții nasc o serie de întrebări care parțial sunt clarificate prin textul GDPR. La altele vom încerca să găsim noi răspunsul. Potrivit Articolului 38: Funcţia responsabilului cu protecţia datelor, noi ca operatori trebui să ne asigurăm că responsabilul cu protecţia datelor „este implicat în mod corespunzător şi în timp util în toate aspectele legate de protecţia datelor cu caracter personal”. Mai mult de atât, avem datoria să acordăm DPO tot sprijinul pentru îndeplinirea sarcinilor menţionate la Articolul 39, asigurându-i toate resursele necesare pentru buna executare a acestor sarcini. Printre aceste resurse se numără accesul la datele cu caracter personal şi la operaţiunile de prelucrare a acestora, cât și facilitarea accesului la resursele de instruire, pentru menţinerea cunoștințelor sale de specialitate. Un aspect foarte important și deci și foarte comentat legat de poziția DPO în cadrul unei organizații este autonomia acestuia în problemele de siguranța a datelor. Așa cum zice Articolul 38, Alineatul 3: „Operatorul şi persoana împuternicită de operator se asigură că responsabilul cu protecţia datelor nu primeşte niciun fel de instrucţiuni în ceea ce priveşte îndeplinirea acestor sarcini.” Cum spuneam, această poziție privilegiată a generat numeroase discuții și nelămuriri privitoare la poziționarea acestei funcții în relațiile cu structurile de management și celelalte linii de business. Nedumeririle sunt și mai mult accentuate de prevederea regulamentului prin care un DPO nu poate fi demis sau sancţionat de către operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecția datelor răspunde direct în faţa celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator. Cele mai frecvente întrebări sunt legate de ce se întâmplă în situația în care sfaturile sau recomandările DPO sunt depășite sau eronate, ceea ce atrage vulnerabilități în privința protecției datelor. Un alt rol critic al DPO este acela de a prelua comunicarea cu persoanele vizate, în cazul în care acestea se prevalează de exercitarea drepturilor lor, în temeiul prezentului regulament. Un alt punct important, în special în situația în care DPO își exercită activitățile ca extern, pentru una sau mai multe companii, este obligaţia de a respecta secretul și confidenţialitatea în ceea ce priveşte îndeplinirea sarcinilor sale. E clar că acest lucru trebuie reglementat printr-o secțiune specială a contractului individual de muncă sau a
45
Catalog GDPR Ready
contractului de prestări de servicii. Astfel de reglementări trebuie să menționeze explicit care sunt categoriile de informații la care DPO are dreptul de acces, care este rolul său în prelucrarea efectivă a datelor și cum poate gira acesta condițiile asumate de organizație prin limitarea volumului de date procesate, siguranța comunicării sau a stocării. Potrivit Alineatului 6 din Articolul 38: „Responsabilul cu protecţia datelor poate îndeplini şi alte sarcini şi atribuţii. Operatorul sau persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini şi atribuţii nu generează un conflict de interese.” Dar înainte de alte comentarii, haideți să vedem care sunt sarcinile de bază ale unui DPO.
47 Ce atribuții avem în calitate de DPO? Condițiile minime pe care trebuie să le asigurăm dacă avem funcția de DPO sunt definite în Articolul 39: Să informăm și să consiliem organizația și angajații cu privire la obligațiile de a respecta GDPR și alte legi privind protecția datelor; Să monitorizăm respectarea GDPR și a altor legi privind protecția datelor, inclusiv gestionarea activităților interne de protecție a datelor; Să consiliem activitățile organizației ce au legătură cu evaluările de impact privind protecția datelor; Să instruim personalul și să efectuăm audituri interne; Să fim primul punct de contact pentru autoritățile de supraveghere și pentru persoanele fizice ale căror date sunt prelucrate (angajați, clienți etc.). Dar poate cel mai important aspect al acestor atribuții este legat de faptul că, în îndeplinirea sarcinilor de DPO, trebuie să ţinem seama, în mod corespunzător (zice legea), dar cu maximă responsabilitate (zic cele mai bune practici) de riscul asociat operaţiunilor de prelucrare. Și aici trebuie să ținem seama atât de natura și de domeniul de aplicare, cât și de contextul şi scopurile prelucrării.
48 De ce calificare am nevoie ca DPO? Responsabilul cu protecția datelor trebuie să aibă calitățile profesionale și cunoștințele profesionale adecvate recunoscute de legislația privind protecția datelor. În prezent, nu există o cerință expresă de a deține o anumită calificare sau certificare. Cu toate acestea, deținerea unei certificări în conformitate cu GDPR este o modalitate eficientă de a demonstra cunoștințele experților. Conform GDPR, ca DPO trebuie să beneficiem de toate condițiile și tot suportul organizației pentru a avea acces la cele mai performante resurse de instruire. Un DPO trebuie să fie independent. Acest lucru nu înseamnă neapărat că, în calitate de operator sau procesator, trebuie să numiți o persoană externă; rolul DPO poate fi îndeplinit de un angajat. Postul poate fi un rol cu jumătate de normă sau combinat cu
46
Catalog GDPR Ready
alte sarcini, însă, în îndeplinirea rolului, DPO trebuie să aibă o linie independentă de raportare și să fie împuternicit să raporteze direct comitetului fără intervenție. Ceea ce este important este faptul că, pentru a-și îndeplini sarcinile, persoana desemnată trebuie să fie un profesionist în domeniul protecției datelor cu „cunoștințe de specialitate privind legislația și practicile privind protecția datelor”. Articolul 37 Alineatul 5 din GDPR stabilește că responsabilul cu protecția ar trebui să fie „desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacităţii de a îndeplini sarcinile prevăzute la articolul 39.” Revenind la Articolul 39, Alineatul 1 din GDPR unde ne trimite Articolul 37, aici este vorba de sarcinile care îi revin unui DPO. Să vedem cam ce experiență necesită fiecare: informarea şi consilierea companiei şi personalului care se ocupă de prelucrare cu privire la obligaţiile GDPR, dar și altor dispoziţii de drept al Uniunii sau drept intern referitoare la protecţia datelor – impune aptitudini clare pe parte legislativă și procedurală; monitorizarea respectării GDPR, a altor dispoziţii de drept referitoare la protecţia datelor şi a politicilor de protecţie a datelor cu caracter personal, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente – în plus față de abilitățile legislative se recomandă aptitudini manageriale de alocare a responsabilităților, sensibilizare și de formare a personalului, precum și experiență de auditare; furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea funcţionării acesteia, în conformitate cu articolul 35 – aici e clar că e nevoie de cineva familiarizat cu evaluarea riscurilor și a impactului asupra protecției datelor; cooperarea cu autoritatea de supraveghere - aici practic e doar o chestiune de reprezentare, DPO acționând ca persoana de contact; punct de contact pentru autoritatea de supraveghere – la fel ca mai sus. Din ce avem până acum, reiese că un DPO trebuie să aibă cunoștințe temeinice de legislație internă și europeană, să aibă un bun spirit managerial, să fie capabil să facă o analiză de risc și să fie un bun comunicator. Și bineînțeles să fie capabil să-și rezolve sarcinile de serviciu. Ghidul WP29 [5] sugerează că nivelul de expertiză al unui DPO trebuie să fie adecvat complexității datelor personale prelucrate și a măsurilor de protecție necesare. De exemplu, pentru o activitate complexă ce implică un larg volum de date senzitive, DPO trebuie să posede un înalt nivel de expertiză și suport. Pe lângă spiritul etic și integritatea profesională, calități personale absolut necesare pentru îndeplinirea sarcinilor, un candidat la poziția DPO trebuie să dovedească și o serie de calități profesionale, precum: experiență în legislația și practicile de protecție a datelor la nivel național și european; nivelul de cunoștințe în domeniul protecției datelor în funcție de operațiunile de
47
Catalog GDPR Ready
prelucrare a datelor efectuate și de nivelul de protecție necesar pentru datele cu caracter personal prelucrate; să înțeleagă operațiunile de prelucrare efectuate, precum și sistemele de informații și cerințele de securitate și protecție a datelor prelucrate de operator; cunoștințe privind reglementările legale din domeniul public, în cazul unei autorități sau instituții publice.
49 Care sunt situațiile în care poate apărea conflictul de interese? Iată câteva considerații privitoare la Conflictul de interese extrase din Ghidul menționat mai sus. Articolul 38, Alineatul 6 din GDPR permite DPO „să îndeplinească și alte sarcini și atribuții”. Cu toate acestea, este nevoie ca organizația să se asigure că „niciuna dintre aceste sarcini și atribuții nu generează un conflict”. Absența conflictului de interese este strâns legată de obligația de a acționa în mod independent. Cu toate că îi este permis să aibă și alte funcții, acestuia îi pot fi încredințate alte sarcini și atribuții cu condiția ca acestea să nu dea naștere unor conflicte de interese. Acest lucru se referă mai ales la faptul că rolul de DPO nu presupune și libertatea de a stabili scopurile și mijloacele de prelucrare a datelor cu caracter personal. Acest lucru trebuie luat în considerare de la caz la caz, ținându-se cont de structura organizațională specifică fiecărei organizații. Ca regulă generală, funcții din cadrul organizației cu care poate intra în conflict pot include funcții de conducere (cum ar fi director executiv, director operațional, director financiar, șeful serviciului medical, șeful departamentului de marketing, șeful departamentului de resurse umane sau șeful departamentului IT), dar, în același timp, și alte funcții inferioare dacă acestea conduc la posibilitatea de a stabili scopurile și mijloacelor de prelucrare. În plus, un conflict de interese poate apărea, în situația în care un DPO extern este rugat să reprezinte operatorul sau persoana împuternicită de operator în instanță, în cazurile care implică probleme de protecție a datelor. În funcție de activitățile, dimensiunea și structura organizației, o bună practică pentru operatori și persoanele împuternicite de operatori ar putea fi: să identifice funcțiile ce ar fi incompatibile cu funcția de DPO; să elaboreze norme interne pentru a evita conflictele de interese; să includă o explicație mai generală cu privire la conflictele de interese; să declare că DPO nu are niciun conflict de interese în ceea ce privește funcția sa; să includă garanții în normele interne ale organizației și să se asigure că anunțul de post vacant pentru funcția de DPO sau contractul de prestări servicii este suficient de precis și detaliat pentru a evita conflictul de interese. În acest context, trebuie avut în vedere faptul că respectivele conflicte de interese mai pot lua diverse forme în funcție de faptul dacă DPO este recrutat intern sau extern.
48
Catalog GDPR Ready
50 Cum construim o cultură GDPR de organizație? De cele mai multe ori alinierea la cerințele GDPR este privită doar ca o provocare de conformitate. Ceea ce puțini realizează încă de la început este faptul că GDPR nu implică un efort de tip „hei-rup”, după care urmează o relaxare. Nu este un proiect de IT și nici o simplă modificare a contractelor sau a politicii de confidențialitate de pe un site de eCommerce. GDPR este începutul unui proces care ar trebui să devină ireversibil, și pentru asta are nevoie de o sursă de energie care să îl mențină în mișcare. Sursa de energie pentru menținerea condițiilor de conformitate GDPR pentru întreg ciclul de viață al unui business este capacitatea internă a organizației de a menține nivelul de compatibilitate. Și asta se cheamă politică de companie. A început să se vorbească din ce în ce mai mult despre GDPR. Și asta e bine, pentru că încă e nevoie de conștientizare. Din păcate, majoritatea mesajelor care se vehiculează pun accentul pe valoarea punitivă a regulamentului. Și asta pe bună dreptate, pentru că amenzile anunțate sunt înspăimântătoare, chiar și pentru o companie mai măricică. Pentru marea majoritate însă, o penalizare de 10 milioane de Euro înseamnă practic ieșirea din business. Cei care vor avea cu ce se plătească se vor confrunta cu o mare pată neagră de reputație, care se va răsfrânge asupra încrederii clienților, ceea ce creează premisele unei amenințări și mai mari decât amenzile în sine. Aceste amenințări ar trebui să genereze o mare îngrijorare în primul rând la nivelele executive. Aici nu mai e vorba de câteva măsuri rapide de modificare a unor pagini Web și de o instruire ad-hoc a personalului. Organizațiile trebuie să-și schimbe mentalitatea și oamenii de decizie trebuie să fie un exemplu. Succesul unui proiect GDPR pe termen lung se bazează pe crearea unei culturi la nivel de organizație, în care oamenii se gândesc în primul rând la modul în care ar dori ca informațiile lor personale să fie procesate. Companiile trebuie să adopte această atitudine atunci când manipulează datele personale ale clienților, ale angajaților și ale altor subiecți. Nu este vorba doar despre amenințarea cu sancțiuni financiare. Este vorba de continuitate în business și de construirea unei atitudini de încredere. Persoanele fizice trebuie să aibă încredere în companiile cărora le furnizează informațiile personale și să aibă încredere că acești operatori de date au capacitatea de a gestiona aceste informații în mod corespunzător și în siguranță. Una dintre noutățile GDPR este introducerea principiului responsabilității. Conceptul nu este nou. Dar pentru prima dată devine un principiu explicit liber. Principiul responsabilității depășește respectarea principiilor protecției datelor, deoarece implică o schimbare a culturii. Orice operator sau procesator de date trebuie să dovedească nu numai că sunt responsabile pentru protecția datelor personale, ci și să dovedească faptul că pot susține această responsabilitate. Pentru ca această responsabilitate extinsă să poată fi asimilată de o organizație, este nevoie de o schimbare culturală și organizațională.
49
Catalog GDPR Ready
Pentru crearea unei culturi GDPR companiile trebuie să adopte o abordare proactivă, metodică și responsabilă cu privire la conformitate, o cultură de confidențialitate și de protecție a datelor personale. Dacă vrei ca oamenii să-și schimbe comportamentul, trebuie să-i motivezi să dorească să facă acest lucru; ei trebuie să înțeleagă de ce este important. Această schimbare este o provocare dacă nu pot să conecteze riscurile de confidențialitate a datelor la propriile roluri și vieți private. Pregătirea personalizată pentru roluri sau personaje și utilizarea exemplelor relevante reprezintă, prin urmare, o bună practică. Pentru a educa eficient personalul dvs., lucrați îndeaproape și conectați-vă cu echipele interne - oamenii de la HR, de la contabilitate, de la logistică, de la echipele tehnice, dar mai ales de la echipele interne de comunicare. Acum că ați construit cultura de confidențialitate a datelor, trebuie să o încorporați și să o susțineți. Pentru a face acest lucru, va trebui să: Definiți atribuții periodice și punctuale clare Creați campanii periodice Construiți conștientizarea confidențialității în noile medii de business sau cu noi angajați. Dacă nu a devenit deja, conformitatea cu GDPR ar trebui să fie o prioritate-cheie pentru toate organizațiile, indiferent de mărime, industrie sau locație geografică.
REFERINȚE [1]: „Ghidul orientativ de aplicare a Regulamentului General privind Protecţia Datelor destinat operatorilor”, ANSPDCP, http://www.dataprotection.ro/?page=Regulamentul_ nr_679_2016 [2]: „Here’s what it takes to be a certified DPO in Spain”, IAPP - European Data Protection Digest, Noiembrie 2017, https://iapp.org/news/a/heres-what-it-takes-to-be-acertified-dpo-in-spain-2/ [3]: „Guidelines on Personal data breach notification under Regulation 2016/679”, WP29 - WP250, Octombrie 2017 [4]: Sursa: http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm [5]: „Guidelines for Data Protection Officers”, WP29 – WP243, Decembrie 2016
50
Catalog GDPR Ready
Soluții IT la provocările GDPR GDPR nu este o problemă... deci nu există o soluţie. GDPR reprezintă un cumul de proceduri, procese, instrumente și politici care trebuie făcute să meargă în compania fiecăruia pentru a răspunde la un set de cerinţe care de fapt existau și până acum. Ca atare, Brinel nu are o soluţie, dar vă poate ajuta la anumite componente tehnice pe care ar fi bine să nu le ignoraţi, pentru a răspunde cerinţelor GDPR. Vă putem ajuta în procesul de identificare a datelor cu caracter personal pe care le utilizați în compania dvs și ghida în implementarea unor aplicații dedicate, cu funcționalități de audit al datelor, audit al activității utilizatorilor, raportare și analiză integrată. Aceste aplicații dețin funcționalități integrate de auditare, jurnalizare și înregistrare alerte de securitate și monitorizare. Vă putem ajuta în procesul de mapare a datelor prin integrare de funcționalități pentru „data classification” și „information protection” care identifică, clasifică și categorisesc datele după importanța și impactul lor. După ce stabilești lista persoanelor și drepturile asociate fiecăruia, organizează-le în grupuri. Folosind o soluție de gestionare a drepturilor de acces la resursele din rețea, te putem ajuta să stabilești modul în care utilizatorii din aceste grupuri au acces la date luând în considerare și aspecte legate de: Dispozitivul de pe care se conectează (telefon, tabletă, PC care aparține sau nu companiei); Modul de conectare – prin cablu, wireless, printr-o conexiune securizată dintr-o rețea publică; Intervalul de timp la care are loc conexiunea; Dacă sistemul de operare și alte aplicații (antivirus de exemplu) sunt la zi cu actualizările. În funcție de acești parametri se poate stabili și apoi monitoriza cu un nivel ridicat de granularitate accesul utilizatorilor la datele cu caracter personal.
51
Catalog GDPR Ready
După ce ai catalogat datele în funcție de gradul de confidențialitate, te putem ajuta să identifici soluția care să permită aplicarea automată de politici de acces și monitorizarea încercărilor de vizualizare/copiere/alterare, indiferent dacă aceste informații sunt stocate sau în tranzit prin rețea. În funcție de grupul din care face parte utilizatorul, acesta poate efectua una dintre operațiunile de mai sus asupra datelor, iar sistemul păstreaza o înregistrare referitoare la activitatea sa. De asemenea, prin criptarea datelor și restrângerea drepturilor de decriptare doar către un grup definit, sistemul poate controla transferul acestora spre exterior, indiferent dacă se încearcă copierea pe stick USB, email sau salvarea lor în soluții de stocare în cloud. Soluțiile de securitate pentru e-mail permit criptarea mesajelor ce conțin date cu caracter personal și limitarea accesului la informații doar pentru cei cărora le sunt adresate. Se asigură astfel integritatea datelelor ce sunt transmise prin mesaje e-mail, deoarece, doar utilizatorul care le trimite și cel căruia îi sunt destinate le pot accesa. Mai mult, îți arătăm cum să răspunzi la solicitarea GDPR relativă la transmiterea de date cu caracter personal, accidental în afara UE prin aplicații ce permit setarea de reguli pentru restrângerea distribuției datelor pe bază de localizare geografică. Noi știm că un mod prin care datele pot fi alterate, distruse sau furate se bazează pe viruși și tehnici de phishing. Într-o infrastructură securizată, putem adresa aceste amenințări la marginea rețelei prin firewall-uri de tip NGFW (Next Generation Firewall), soluții de „e-mail security”, „web security” cât și la nivel de endpoint prin agenți de tip Advanced Malware Protection. Prin intermediul soluțiilor avansate de securitate putem implementa politici atât la nivelul sistemului de operare cât și al aplicațiilor diferite prin analiză de comportament, detectarea intruziunilor și scanare activă. Soluțiile integrate cu suport multidevice și multivendor care asigură gestionare de la distanță, „location tracking”, „location based access control” și ștergerea datelor de la distanță devin un „must-have” din punct de vedere al soluțiilor necesare. Punem la dispoziție aplicații moderne de management al documentelor, înzestrate cu capabilități de raportare selective, astfel încât să poți controla eficient datele cu caracter personal din documentele tipărite.
52
Catalog GDPR Ready
În cazul în care aplicațiile pe care le folosești pentru gestionarea datelor cu caracter personal nu răspund urmatoarelor cerințe: Limitarea drepturilor de acces ale utilizatorilor la datele cu caracter personal; Limitarea drepturilor de copiere ale datelor cu caracter personal (CTRL+C); Limitarea drepturilor de export al datelor cu caracter personal (în txt, xls, csv, xml, .etc); Limitarea drepturilor de la rapoarte ce extrag date cu caracter personal; Punerea la dispoziție de proceduri de ștergere de tip «bulk delete» pentru a reduce cantitatea de date personale stocate accidental; Criptarea datelor cu caracter personal în bazele de date utilizate; Îți putem oferi aplicații moderne de tip ERP și CRM proiectate în conformitate cu cele mai restrictive cerințe de protecție care pot să o facă! După ce ai definit care sunt datele confidențiale, drepturile utilizatorilor, ai scris politicile de securitate prin care impui restricțiile de acces și le-ai aplicat pe soluția de infrastructură securizată trebuie să te asiguri că nu sunt deviații de la acest tipar. Pentru acesta venim în ajutor cu o soluție care monitorizează abaterile de la „baseline”. Aceste semnale de deviație pot fi tratate în mod automatizat dacă reprezintă un comportament malițios sau pot fi doar indicatori de modificare a comportamentului. Soluția se bazează pe algoritmi avansați de calcul astfel încât poate identifica un comportament malițios inclusiv în trafic criptat fără a fi nevoie să-l decripteze. Toate evenimentele sesizate se corelează cu cele semnalizate de către echipamentele de tip „firewall NGFW” și soluția de „advanced malware protection” de pe terminale și generează o acțiune corectivă la nivel de rețea pentru izolarea problemei.
Detalii despre toate soluțiile de mai sus şi despre cele ce mai urmează poți găsi la adresa www.brinel.ro/gdpr.
Cluj
Bucureşti
B-dul Nicolae Titulescu nr. 4, Cluj-Napoca
Str. Vidin nr. 3A, Sector 2
Telefon: 0264 414 610
Telefon: 0371 003 473
E-mail: cluj@brinel.ro
E-mail: bucuresti@brinel.ro
53
Catalog GDPR Ready
Fenomenul GDPR
Yugo Neumorni
Practic de acum încolo toţi oamenii trebuie să gândească și să opereze zilnic în termenii GDPR, atât din perspectiva responsabilităţii ca angajat, dar și ca beneficiar în viaţa privată. Fenomenul GDPR apare într-un moment în care societatea s-a săturat de nenumăratele „accidente” prin care baze de date cu informații confidențiale ajung să circule liber în Internet, eliberate în mod voit, accidental sau sustrase prin atacuri de natura cibernetică. Companii multinaționale de renume din toate sectoarele economice, alături de structuri din sectorul public sau de apărare, și-au văzut penetrate sistemele de securitate IT, având ca rezultat pierderea a sute de milioane de date medicale, financiare și alte informații cu caracter personal. Profilarea automată a persoanelor direct din instrumentele online sau prin rețelele sociale, agresivitatea vânzătorilor online și a departamentelor de marketing au devenit intens abuzive și constituie deja o intruziune nepermisă în viața privată a cetățeanului. Toate acestea au făcut ca societatea să ceară imperativ un control solid al operatorilor de date cu caracter personal și o schimbare de mentalitate asupra protecției datelor. Interesant este că, deși legislațiile naționale dar și cea europeană aflate în vigoare acoperă de ani buni protecția datelor cu caracter personal, ele nu au fost popularizate și promovate până acum, rămânând practic necunoscute marelui public. Comasarea majorității actelor normative într-un singur regulament, optimizarea acestuia și promovarea ca directivă europeană, dar mai ales creșterea considerabilă a cuantumului penalităților au făcut ca acest regulament GDPR să ajungă acum prioritate zero pentru companii. Aplicarea regulamentului GDPR presupune schimbarea mentalității asupra protecției datelor, atât în companii, cât și în societate, în general. Ea implică cel puțin o procedurizare serioasă a proceselor de afaceri iar în multe situații o modificare substanțială a acestora. GDPR nu este un proces care se închide la 25 Mai ci, din contra, este un demers continuu care va modifica procesele operaționale ale companiilor. Practic de acum încolo toți oamenii trebuie să gândească și să opereze zilnic în termenii GDPR, atât din perspectiva responsabilității ca angajat, dar și ca beneficiar în viața privată.
54
Catalog GDPR Ready
În organizațiile insuficient de mature aplicarea GDPR este percepută în mod eronat ca fiind o responsabilitate a CIO când aceasta aparține, în realitate, Board-ului. La întreținerea acestei false percepții au contribuit din păcate și firmele de IT, care au văzut fenomenul GDPR ca o oportunitate de a vinde soluții de securitate IT. Din perspectiva CIO, fenomenul GDPR aduce o mare provocare profesională și mult stres, dar și un sprijin și o argumentație în plus la constituirea bugetelor IT. Se știe de ani de zile despre dificultatea de „a vinde” securitatea IT către Board, mai ales în contextul în care operațiunile IT au fost mai mereu „pe verde”. Executivii nu acceptă cu ușurință nevoia de securitate IT în principal, pentru că este un element oarecum intangibil, și cu impact negativ în P&L. Regulamentul GDPR pune în mâna CIO, prin intermediul DPO, suficiente argumente pentru o bugetare corectă în domeniul securității IT și a protecției datelor personale. GDPR este un fenomen eminamente pozitiv pentru societate, care deschide noi oportunități pentru „data protection officers”. Simultan CIOs și departamentele IT se repoziționează și primesc un mare balon de oxigen în evanghelizarea nevoii de securitate IT și de protecție a datelor. Privită din anumite unghiuri însă, o interpretare excesivă și abuzivă a GDPR, în lipsa unor norme de aplicare clare, poate conduce la dereglarea mediului economic. Yugo Neumorni, CISA, EMBA este membru în Boardul asociației paneuropene EuroCIO și Chairman al Cybersecurity Council al EuroCIO. Este de asemenea președintele asociației CIO Council Romania, membru în British Computer Society Elite și Director IT al Hidroelectrica. A contribuit din poziția de CIO la ieșirea din insolvență a companiei Hidroelectrica și la transformarea în cea mai profitabilă companie din România. A coordonat cu succes implementarea unui proiect ERP complex pentru Hidroelectrica (300 utilizatori, 12 module) care a fost premiat cu Gold Winner in competiția SAP Quality Awards 2017 în categoria Fast Delivery. Anterior, Yugo a fost peste 10 ani Head of IT pentru Vimetco, cel mai mare producător de aluminiu din Europa de Sud-Est și peste 6 ani IT Manager în cadrul Deloitte Central Europe. Cu peste 24 de ani de experiență în industria IT, Yugo Neumorni este specializat în reorganizarea și dezvoltarea ecosistemelor IT din zona industrială și de manufacturing. Aria sa de expertiză include implementarea și dezvoltarea de proiecte ERP complexe, securitate IT si cybersecurity, sisteme SCADA și industrial control systems, IT audit și IT governance, modelare de procese în energie și manufacturing, COBIT framework. Este absolvent al Facultății de Automatizări și Calculatore al Universităţii Politehnice Bucureşti și al programului EMBA de doi ani derulat în parteneriat de Asebuss și Kennesaw State University.
55
Catalog GDPR Ready
Portarea datelor în GDPR. Șah mat sau avantaj concurențial?
Andreea LISIEVICI
Ne-am obișnuit deja să ne portăm numerele de telefon, ne putem porta conturile bancare, iar din mai 2018 vom mai putea porta încă ceva: datele personale prelucrate de operatori. Regulamentul general privind protecția datelor (Regulamentul 2016/679/UE, pe scurt GDPR) aduce o paletă largă de modificări în ce privește regimul prelucrării datelor personale ale persoanelor din Uniunea Europeană. Între acestea se numără introducerea dreptului la portabilitatea datelor, care, potrivit art. 20 GDPR, are următorul conținut: (1) Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care: (a) prelucrarea se bazează pe consimțământ în temeiul articolului 6 alineatul (1) litera (a) sau al articolului 9 alineatul (2) litera (a) sau pe un contract în temeiul articolului 6 alineatul (1) litera (b); și (b) prelucrarea este efectuată prin mijloace automate. (2) În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1), persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic. (3) Exercitarea dreptului menționat la alineatul (1) din prezentul articol nu aduce atingere articolului 17. Respectivul drept nu se aplică prelucrării necesare pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este învestit operatorul. (4) Dreptul menționat la alineatul (1) nu aduce atingere drepturilor și libertăților altora.
56
Catalog GDPR Ready
Portabilitatea datelor a generat o preocupare ridicată în rândul companiilor a căror activitate este dependentă de gestiunea bazelor de date. Un raport din 2017 arată că portabilitatea datelor apare ca fiind cea mai dificilă obligație de conformitate din cadrul GDPR1. Același raport arată, de asemenea, că respectarea GDPR va fi luată în considerare atunci când o companie selectează un furnizor de servicii cloud, ceea ce înseamnă că această conformitate, și implicit susținerea portabilității datelor, pot deveni un avantaj competitiv.
Portabilitatea vs. dreptul de acces Dreptul la portabilitatea datelor are ca scop prevenirea blocării persoanelor vizate la un anumit serviciu („lock-in”), și facilitarea mutării datelor de la un furnizor la altul fără restricții în funcție de formatul ales de furnizor. Portabilitatea datelor se aseamănă cu dreptul de acces, care era reglementat și anterior, în sensul că și în temeiul dreptului de acces persoana poate obține o copie a datelor prelucrate. Însă, în vreme ce dreptul de acces privește datele prelucrate indiferent de suport și indiferent de temei, portabilitatea privește numai datele prelucrate în temeiul consimțământului sau executării unui contract, și numai prin mijloace automate. În plus, dacă în răspunsul la dreptul de acces operatorii pot da datele în orice format (de exemplu, fișiere .pdf pentru emailuri sau mesaje), portabilitatea este menită să asigure continuitatea serviciului, astfel că datele trebuie portate în formatul lor nativ, care să asigure posibilitatea continuării prelucrării de către operatorul destinatar sau persoana vizată în același mod precum cel anterior portării. În plus, operatorul expeditor trebuie să porteze cât mai multe metadate posibil, pentru a păstra sensul exact al informațiilor schimbate. Mai merita precizat faptul că portarea datelor este o măsură unică, ea nefiind destinată să asigure interconectarea unor servicii sau fluxul continuu de date – de exemplu, portarea nu este soluția potrivită în cazul in care un utilizator dorește să își primească emailurile dintr-un cont prin intermediul altui cont de la alt furnizor sau daca vrea ca documentele salvate pe o platforma cloud sa fie automat salvate și într-o alta. Mai mult, portarea datelor nu duce in mod automat la încetarea serviciului din care se efectuează portarea. Portarea în GDPR nu este văzută similar cu portarea numerelor de telefon, adică o schimbare totală a furnizorului, ci pur și simplu ca o modalitatea de transfer de date, inclusiv între servicii neechivalente (de exemplu, de la un furnizor de cloud la o soluție de analiză a informaţiilor).
Alocarea rolurilor pentru portarea în cazul serviciilor cloud computing GDPR lucrează cu câteva concepte principale, între care dualitatea operator-împuternicit. Mai exact, „operatorul” („controller” în engleză) este entitatea care, singură sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal, în 1 IAPP-EY AnnualPrivacyGovernance Report 2017, pag. 19, disponibil la https://iapp.org/media/pdf/resource_center/ IAPP-EY-Governance-Report-2017.pdf (accesat ianuarie 2018).
57
Catalog GDPR Ready
vreme ce „împuternicitul” („processor” în engleză) înseamnă entitatea care prelucrează datele cu caracter personal pentru operator. În cazul particular al serviciilor cloud, pentru alocarea acestor roluri trebuie distins între serviciile cloud B2B și serviciile cloud B2C. În scenariul B2B, unde clientul serviciului cloud este o companie, datele pe care aceasta le stochează în cloud nu sunt datele personale ale acesteia, ci ale utilizatorilor finali ai companiei (fie că sunt angajaţi, clienţi, etc). Clientul va lua decizii privind modul de stocare și prelucrare a datelor, iar furnizorul de servicii cloud va urma doar instrucțiunile. Acest lucru face ca operatorul de date să fie clientul, iar furnizorul de servicii cloud să fie împuternicit. Nu aceeași este situaţia în scenariul B2C. În cazul în care clientul unui serviciu cloud este o persoană fizică, datele personale ale acesteia sunt prelucrate direct de furnizorul de servicii cloud, care devine operator de date. Distincţia este una importantă, pentru că dreptul la portabilitatea datelor trebuie pus în aplicare numai de către operator. Cu alte cuvinte, acolo unde furnizorul de cloud este împuternicit, el trebuie să evite să intervină în vreun mod în catalogarea datelor, selecţia datelor supuse portării, a modalităţii de portare (dacă există alternative), a timpului, a destinatarului, etc, altfel riscând să fie calificat operator asociat. În timp ce articolul 20 GDPR nu menționează în mod explicit nicio responsabilitate pentru împuterniciţi, articolul 28 GDPR prevede faptul că operatorii pot contracta numai împuterniciţi „care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în GDPR”. Astfel, furnizorii de cloud pentru firmele care prelucrează în mod direct datele cu caracter personal, vor trebui în mod similar să demonstreze conformarea la GDPR pentru a rămâne competitivi.
Datele care intră în obiectul portării Art. 20 GDPR precizează faptul că portabilitatea se referă la „datele cu caracter personal care privesc” persoana vizată. Acest lucru a fost interpretat de Grupul de Lucru Art. 29 ca reunind atât datele furnizate cu bună știință și în mod activ de persoana vizată, cât și cele rezultate din observarea activității sale. Cu alte cuvinte, ceea ce nu intră în obiectul dreptului la portarea datelor sunt datele derivate de operator pe baza primelor două, deși și acestea pot fi obţinute de persoana vizată în temeiul dreptului de acces (dar nu pot fi transmise în mod direct altui operator). În tot cazul, distincţia între aceste trei categorii de date (date furnizate explicit, date observate și date derivate) devina una importantă. Ea poate fi implementată atât prin etichete (tag-uri) care să susţină un proces automatizat de selecţie, dar poate fi inclusă și în registrul operaţiunilor de date întocmit de operator potrivit art. 30. Furnizorul de cloud trebuie însă să fie atent ca, în situaţia în care este împuternicit, să nu decidă el această etichetare, ci doar să pună la dispoziţia clientului său posibilitatea efectuării ei. Furnizorul de cloud împuternicit trebuie să păstreze o abordare neutră, în care el să
58
Catalog GDPR Ready
cunoască cât mai puțin (spre deloc) din datele clienţilor. De altfel, acesta e motivul pentru care registrul operațiunilor ținut de împuterniciți nu trebuie sa includă categoriile de date, ci doar o descriere generala a acestora (art. 30.2.b GDPR).
Metode de a efectua portarea datelor în cazul serviciilor cloud Articolul 20 GDPR nu impune o formă sau o metodă pentru portarea datelor, singurele cerinţe fiind ca transferul să se facă într-o formă „structurată, utilizată în mod curent și care poate fi citită automat”. Preambulul 68 dezvoltă și prevede că „operatorii de date ar trebui să fie încurajați să dezvolte formate interoperabile care să permită portabilitatea datelor”. Cu alte cuvinte, operatorii nu sunt obligați să asigure compatibilitatea sistemelor lor, ci doar interoperabilitatea. În acest context, pot fi identificate trei metode de portare a datelor: Interfețele de programare a aplicațiilor (API-uri) sunt de obicei dezvoltate de furnizorul de servicii cloud, ceea ce înseamnă că ele diferă de API-urile altor furnizori. Astfel, clienții care doresc să utilizeze API-uri pentru a extrage date personale din serviciile cloud trebuie să se adapteze API-ului pus la dispoziţie. API-urile sunt avantajoase, deoarece clienții pot extrage date direct de la furnizorii de cloud și nu au nevoie să stocheze temporar datele pe infrastructura proprie. Totuși, API-urile ar putea să nu fie cea mai bună soluţie atunci când portarea se face în mod direct către un furnizor de alt fel de serviciu. Protocoalele sunt de obicei concepute de o organizație de standardizare în industrie și, prin urmare, sunt acceptate pe scară largă de multe platforme, de cloud și nu numai (de exemplu SMTP, SFTP, IMAP, etc). În acest caz dispare nevoia de adaptare la platforme specifice, ceea ce ar sprijini interoperabilitatea. În mod similar API-urilor, clienții nu au nevoie să stocheze temporar datele pe infrastructura proprie. O a treia metodă este descărcarea datelor ca un fișier de format utilizat în mod curent (de exemplu .csv, .xml). Această metodă facilitează importarea datelor în alte platforme, însă numai ca acţiune directă a utilizatorului, fără să fie o modalitate de portare directă operator-operator. Ea necesită deci stocarea datelor temporar pe infrastructura proprie a utilizatorului, și în plus se poate dovedi nepractică acolo unde volumul datelor este mare. Toate cele trei metode sunt deja utilizate pe scară largă pe piață astăzi, fără însă ca acest lucru să însemne că nu pot apărea metode noi. Cert este că portabilitatea datelor necesită un proces automatizat sau semi-automatizat pus la dispoziţie de operator (sau de împuternicit pe seama operatorului), întrucât o operare manuală ar risca să blocheze activitatea operatorului. Mai merită menţionat că în decembrie 2017 a fost publicat un standard ISO pentru interoperabilitate și portare în serviciile cloud: ISO/IEC 19941:20172, care deși nu este destinat să răspundă cerinţelor GDPR (fiind un standard global), poate fi adaptat pentru a acoperi cerinţele art. 20 GDPR. 2 Disponibil la https://www.iso.org/standard/66639.html.
59
Catalog GDPR Ready
Concluzii Pentru a putea răspunde solicitărilor de portare, furnizorii de cloud trebuie să ia o serie de măsuri importante și posibil costisitoare. Între acestea se numără: să pună la punct mecanisme de selecţie a datelor care intră în domeniul portabilității; să decidă cine și cum face trierea datelor portate pentru a elimina tot ce este excesiv, precum și să decidă cum implică sau anunță persoana vizată referitor la datele excluse; să adopte proceduri prin care să standardizeze procesul de răspuns la cererile de portare; să implementeze mecanisme cât mai automate de efectuare a portării (API, protocol, download direct), preferabil care dau persoanei vizate posibilitatea selectării datelor portate; să implementeze proceduri de identificare corespunzătoare a persoanei vizate și a operatorului destinatar; să implementeze măsuri de securitate a datelor portate, inclusiv izolarea acestora de alte date prelucrate și asigurarea unui canal sigur de transfer; nu în ultimul rând, să poată face distincţia între serviciile puse la dispoziţie clienţilor corporate (aceștia fiind operatori) și cele puse la dispoziţia clienţilor persoane fizice (caz în care furnizorul de Cloud este operator). Trebuie menționat că încălcarea dreptului la portabilitatea datelor se încadrează în palierul cel mai sever de sancțiuni, astfel că potrivit articolului 83 alineatul 5(b) GDPR operatorilor le pot fi impuse amenzi administrative de până la 20.000.000 EUR sau până la 4 % din cifra de afaceri globală în exercițiul financiar anterior, oricare este mai mare. Concomitent, persoana fizică vătămată prin neefectuarea portării poate angaja răspunderea solidară a operatorului şi împuternicitului (furnizorul de cloud), solicitând acoperirea prejudiciului dovedit. Aceste riscuri, precum şi prejudiciul reputaţional aferent, ar trebui să fie motive clare pentru a implementa măsuri tehnice de efectuare a portării, chiar dacă sunt costisitoare.
Andreea este partener la PrivacyOne, cabinetul specializat în asistenţă juridică în domeniul protecţiei datelor personale şi drept IT. Ea are peste 10 ani de experiență ca avocat în proiecte comerciale, de protecția datelor și de conformitate. A terminat un liceu de informatică și este la curent cu noile tehnologii, ceea ce îi conferă un avantaj deosebit în a înțelege chestiunile tehnice din domeniul protecției datelor. A acordat de-a lungul anilor consultanță unei game largi de clienți în domeniul IT și privacy, cum ar fi cloud computing, securitate cibernetică, publicitate comportamentală, reținerea datelor sau monitorizarea angajaților, și a fost implicată în arbitraje în domeniul IT. Scrie frecvent articole de specialitate,și este un trainer și lector experimentat.
60
Catalog GDPR Ready
Breșe de securitate în GDPR Alexandru Răzvan Rogoz-Crăciunescu, Security & Privacy Officer, GDPR Advisor, Client Innovation Center, IBM Romania
Ce schimbări aduce GDPR, diferit de Directiva 95/46/CE? Această legislaţie conţine o definiţie a „breșelor de date cu caracter personal”, precum și exigenţe privind notificarea Autorităţilor de Supraveghere, dar și a persoanelor fizice afectate. Conform GDPR, o „breșă a datelor personale” reprezintă „o breșă de securitate care conduce la distrugerea accidentală sau ilegală, la pierderea, alterarea, dezvăluirea sau accesul neautorizate ale datelor cu caracter personal transmise, menținute sau procesate”. În oricare din situațiile de mai sus, operatorii de date sunt obligați începând cu 25 Mai 2018 să notifice Autoritatea de Supraveghere locală (unde își au sediul principal sau singura unitate). Comunicarea trebuie furnizată „fără întârzieri nejustificate și, dacă este posibil, nu mai târziu de 72 de ore de la conștientizarea breșei”. Dacă notificarea nu se face în termen de 72 de ore, operatorul trebuie să furnizeze o justificare motivată pentru întârziere. O notificare adresată autorității trebuie „cel puțin”: (1) să descrie natura breșei datelor cu caracter personal, inclusiv numărul și categoriile persoanelor vizate și ale dosarelor cu date personale afectate; (2) să furnizeze informații de contact ale ofițerului de protecție a datelor (DPO); (3) „să descrie consecințele probabile ale breșei”; și (4) să descrie modul în care controlorul propune remedierea, inclusiv orice efort de minimizare al efectelor. In cazul in care nu toate informațiile sunt disponibile simultan, acestea pot fi furnizate în faze. Nota bene: Atunci când un procesator de date înregistrează o breșă a datelor cu caracter personal, acesta trebuie să notifice controlorul, dar altfel nu are nicio altă obligație de raportare în cadrul GDPR. Din perspectiva mea profesională, o abordare completă pentru a ajuta organizațiile să se pregătească și să îndeplinească cerințele GDPR, inclusiv raportarea privind breșele de date personale, ar fi următoarea: În Faza 1, se va evalua situația. Se analizează care dintre datele colectate și stocate se află sub incidența GDPR.
(Continuare în pagina 81) 61
Catalog GDPR Ready
Les Jeux sont faits: Mizați pe Conformitatea GDPR!
Dana Cristina Matache
Au mai rămas mai puţin de 100 de zile până la intrarea în vigoare a Regulamentului General privind Protecţia Datelor cu Caracter Personal, Regulament aplicabil oricărei organizaţii care operează în UE sau, care de oriunde din lume, procesează date cu caracter personal ale cetăţenilor UE sau ale cetăţenilor non-UE care se află temporar în spaţiul UE. Ca avocat specializat în Protecția Datelor cu Caracter Personal, apreciez că Regulamentul aduce un plus de claritate și siguranță pentru companiile din România care procesează date cu caracter personal, având în vedere totodată și evoluția rapidă a tehnologiei. În continuare pun in discuție aplicarea normelor impuse de Regulament în industria jocurilor de noroc. GDPR se va aplica atât jucătorilor, care sunt persoanele fizice a căror date personale sunt procesate, operatorului (organizatorul jocurilor de noroc), cât și persoanei împuternicite de operator (furnizorul de servicii pentru operator care proceseaza date cu caracter personal în numele operatorului). Modelele de business aplicabile industriei jocurilor de noroc sunt: modelul traditional bazat pe sucursale / prezența fizică, respectiv modelul online bazat pe o prezență virtuală. În modelul tradițional, jucătorii pot fi identificați vizual de către angajații operatorului, aceștia din urmă având dreptul de a le solicita prezentarea unui act de identitate pentru demonstrarea vârstei legale, însă nu pot reține, stoca sau nota datele respective. De asemenea, o mare atenție trebuie acordată stocării conținutului video înregistrat de sistemul CCTV, reglementată prin acte normative specifice. Modelul de business online implică acțiuni din partea operatorului de jocuri de noroc cu scopul de a-și cunoaște cât mai bine clienții (KYC), de a le înțelege și îndeplini cât mai mult așteptările.
62
Catalog GDPR Ready
În derularea jocurilor de noroc online se colectează date cu caracter personal în procesul de «know your client» și în maniera de desfășurare a activității operatorului. În concret, operatorul poate efectua verificări în cadrul cărora colectează adresa IP / MAC, informații privind dispozitivul de unde a fost accesat situl, informații care pot constitui un profil al utilizatorului. Recomand ca operatorii de jocuri de noroc să dețină un registru privind procesarile de date cu caracter personal conform art. 30 (1)(5), indiferent dacă au mai mult sau mai puțin de 250 de angajați, pentru situația în care primesc o cerere de auto-excludere care dă naștere unei categorii speciale de date conform. art. 9 alin 1, obligând totodată la efectuarea analizei de impact conform art. 35 din Regulament. Contrar unor opinii convenționale, în derularea jocurilor de noroc online, consimțământul nu este temeiul legal principal aplicabil în procesarea datelor personale. Concluzionând, elementele de noutate impuse de Regulament ne fac mai conștienți de obligația respectării drepturilor persoanelor vizate și de beneficiile încorporării acestor principii sănătoase.
Dana Cristina Matache este Avocat corporate cu experiență multisectorială, specializată în Protecția Datelor cu Caracter Personal, membră a Baroului București din anul 2009. În ultimii doi ani, a oferit asistență juridică și servicii de reprezentare în instanță unei banci importante în a face față unui val de litigii. Anterior, a asistat o companie din domeniul petrolier cu scopul gestionãrii unui volum de litigii de muncă fară precedent.
O publicație
şi get to know!
Nota copyright Copyright © 2018 Pear Media SRL și Marcom Expert SRL Toate drepturile sunt rezervate. Materialul original tipărit în acest număr aparține Pear Media SRL și Marcom Expert SRL http://www.agora.ro
Adresa: Bd. Dimitrie Cantemir nr. 12-14, sc. D, et. 2, ap. 10, sector 4, București, 040243
ISSN 2393 – 3968 ISSN-L 2393 – 3968
Telefon: 0371- 434.301 Fax: 021-3309285 http://cloudmania2013.com
wordpress.com/
63
Catalog GDPR Ready
Abordarea GDPR prin prisma unei experiențe de 10 ani
Fernanda Velter
Noţiunea de protecţie a datelor cu caracter personal nu este nouă în spaţiul Uniunii Europene. Aceasta a fost introdusă încă din 1995, prin directiva 95/46/EC. Ceea ce aduce nou GDPR sunt în primul rând amenzile usturătoare și drepturile mult mai bine definite ale posesorilor de date. Pentru abordarea GDPR, companiile trebuie să implice toate nivelele de management din organizație. O amendã de 20 milioane de EUR sau 4% din cifra de afaceri va afecta întreaga companie, atât din punct de vedere financiar, al imaginii companiei, dar și din punct de vedere al culturii și climatului organizațional. Departamentul juridic se confruntă prin această lege cu noțiuni și abordări noi ale activităților companiei, și va avea nevoie de suportul tuturor departamentelor: HR, IT, operațional, producție, financiar, marketing, comunicații. Bineînțeles că efortul administrativ va crește pe măsură ce structura companiei, valoarea tranzacțiilor și numărul de angajați crește. Cele mai multe companii vor avea rolul de operator de date – datorită colectării datelor angajaților, dar și prin activitatea din segmentul business2consumer. Companiile care au acces la date personale operate de clienții lor, în segmentul business2business, vor avea rolul de procesator. Pentru a respecta obligațiile aferente, atât în rolul de operator, cât și cel de procesator, primul pas ar trebui sa fie reprezentat de identificarea datelor personale la care are acces compania prin diferitele activități, a proceselor prin care acestea sunt accesate/ procesate/stocate și a mediilor/aplicațiilor de procesare a datelor. În acest proces trebuie să înțelegem că vorbim nu numai despre datele personale ale angajaților companiei, ci despre orice fel de date personale la care există acces: clienți, subcontractori, chiar și angajați ai autorităților locale.
64
Catalog GDPR Ready
După acest pas, este indicat să încercăm pe cât putem să minimizăm cantitatea de date personale la care avem acces (întotdeauna întrebați „de ce este nevoie de acest acces?”) prin implementarea unor metode de mascare (un simplu număr de identificare poate înlocui numele și prenumele angajatului) sau cel mai indicat, metode avansate de anonimizare. Suntem conștienți că, nu numai din motive legislative, accesul la date personale nu poate fi eliminat total. Companiile trebuie să implementeze procese pentru protejarea acestor date de accesul neautorizat și folosirea în alte scopuri decât cel intenționat. De asemenea, operatorii sunt primar responsabili pentru obținerea acordului subiecților de date pentru colectarea, procesarea şi stocarea datelor în condițiile reale în care se realizează aceste activități (de exemplu stocarea datelor se face în cloud, pe un server din Oceanul Atlantic). Controlorii de asemenea trebuie să se asigure că toți procesatorii și sub-procesatorii (furnizorii procesatorilor, până la ultimul nivel) au procese implementate pentru respectarea obligațiilor impuse de GDPR acestora, așa numitele măsuri tehnice și organizaționale. Este dreptul controlorilor de a audita metodele de implementare ale măsurilor tehnice și organizaționale ale procesatorilor, fie prin departamentul propriu de audit, fie prin auditori externi. Aici intervin din nou costuri, care de acum vor trebui prevăzute în bugetele anuale ale companiilor. Procesatorii au de asemenea acest drept de audit fata de furnizorii lor și mai mult decât atât, cerințele controlorilor vor trebui implementate până la ultimul nivel de subcontractare, dacă nu sunt asigurate de către primul procesator (de exemplu, semnarea de acorduri de confidențialitate). Procesatorul trebuie să decidă dacă își va exercita dreptul de audit prin efectuarea lui doar la primul nivel de subcontractare și va accepta din partea acestui nivel o declarație de conformitate, sau va efectua auditul până la ultimul nivel de subcontractare. În încheiere, un ultim sfat pentru a asigura protejarea companiilor dumneavoastră: nu este de ajuns să faceți un addendum la contractele existente care doar să facă referire la GDPR. Este indicat sa aveți cât mai detaliat descrise categoriile de date la care aveți/dați acces, subiecții de date ale căror date le controlați/procesați, tipurile de activități efectuate cu aceste date și măsurile tehnice și organizatorice care trebuie implementate.
Fernanda Velter are o experiență de peste 10 ani în domeniul protecției și securității datelor în cadrul IBM, unde deține la ora actuală funcții de GDPR Readiness Coordinator for Europe CiCs, Security and Privacy Practice Lead, precum și Data Security&Privacy Center of Competency Leader. Opiniile prezentate în acest articol reprezintă recomandările personale, în calitate de specialist GDPR şi nu reflectă în nicio circumstanță poziția oficială a IBM.
65
Catalog GDPR Ready
Dimensiunea umană a GDPR-ului
Tudor Galoș
GDPR este în primul rând despre oameni și despre drepturile lor referitoare la modul în care datele lor personale sunt procesate. Observ în ultimele luni o efervescență a subiectului GDPR în presă, în conferințe, în prezentări, pe net, peste tot. Oriunde întorci capul, GDPR. Amenzi uriașe, apocalipsa datelor personale, nu mai poți face nimic, pe toate le-am auzit. Este bântuit spațiul public de mituri, de anti-mituri ce invalidează aceste mituri și care creează alte mituri, de foarte, foarte multă speculă – atât în presupuneri cât și în bani (a explodat piața de consultanți, ce mai). Nu m-aș mira ca dacă deschizi o cutie de acatiste la biserică să găsești acolo câteva pomelnici de ferire de audit GDPR sau să vezi la vrăjitoare în lista de „competențe” pe lângă descântec și scos de argint viu și un „vrajă să te scape de GDPR”. Toată această efervescență este în jurul amenzilor și a măsurilor organizatorice și de securitate ce trebuie luate. Aproape toți vendorii de tehnologie s-au îmbulzit să creeze metodologii, produse, abordări, recomandări, documente și recomandări – multe utile, multe inutile, multe complet și total greșite (paradoxul face ca mulți din acești vendori să nu implementeze mai nimic legat de GDPR în organizație). Însă foarte puțină lume vorbește de ce este cel mai important într-un proces de conformitate cu niște regulamente: de dimensiunea umană. Au americanii o expresie: “guns don’t kill people; people do”. Cam așa și aici – poți avea cele mai bune proceduri interne, de securitate, cele mai bune procese, produse, tehnologii implementate, cele mai frumoase documente interne, portaluri, etc că dacă nea Nelu de la operațiuni vrea să scoată niște date personale își va scoate telefonul și își va poza ecranul monitorului trecând peste absolut toate procedurile atent dezvoltate de organizație. De aceea aici trebuie lucrat cel mai mult. Și paradoxal, aici se lucrează cel mai puțin... Ca să îți faci angajații și partenerii să accepte conformitatea la GDPR trebuie să îi faci să creadă în GDPR. GDPR este în primul rând despre oameni și despre drepturile lor referitoare la modul în care datele lor personale sunt procesate. Aș face o paralelă aici
66
Catalog GDPR Ready
cu o bancă ce are casete valorice. Clienții vin și își depozitează bunuri în acele casete valorice, iar banca nu poate să facă cu acele casete valorice ce vrea, poate să facă doar ce este lăsată de către clienți. Nu poate cotrobăi prin ele, nu poate scoate, nu le poate strica. Similar și aici, organizația nu „are” date personale, ci este un custode al unor bunuri ale unor oameni. Bunuri pe care le poate procesa în limitele admise de către persoane, fie prin interes legitim, fie prin interes vital, fie prin consimțământ etc. Oamenii își pot retrage oricând aceste bunuri și le pot da altcuiva. Este dreptul lor! Practic angajații trebuie educați și ei să își exercite drepturile în raport cu alți procesatori – nimănui nu îi place să fie bombardat de spam, nimănui nu îi place să fie sunat la telefon la ore aiurea de ceva call-center fără să existe o justificare obiectivă etc. Fiecare are dreptul să afle ce date ține un operator despre el, inclusiv dacă l-a inclus în categorii jignitoare gen „sărac”, „prost”, „fraier” etc – și da, sunt companii ce de amuzament au inclus aceste categorii prin diverse Excel-uri uitate pe diverse servere. Odată aceste drepturi înțelese oamenii au șansa ca cerând respect, să ofere respect. Să își dea seama chiar ei cât de importante sunt aceste date personale și să înțeleagă vechiul proverb – „ce ție nu-ți place altuia nu-i face”. Închei spunând că alinierea la GDPR nu este un „one-time project” – oamenii vin și pleacă, vor intra noi angajați, noi parteneri, vor apărea noi oportunități de business – și toate trebuie abordate având respectul pentru datele personale în prim plan. Succes la implementare!
Tudor Galoș a fost director de marketing pe consumer la Microsoft România vreme de șase ani și înainte de asta s-a ocupat de business-ul de Windows și Office pe România, Bulgaria și Europa de Sud-Est, fiind responsabil de lansări precum Windows Vista, Windows 7, Windows 10, Office 2003, Office 2007, Office 365 și multe alte produse și servicii. A lucrat cu firme mici, medii și mari din întreaga Europă. Din Septembrie 2017 coordonează propriul său business, Tudor Galos Consulting cu focus pe consultanța de business și management în zona start-up-urilor, a spin-off-urilor și a transformării digitale. Tudor privește alinierea la GDPR ca pe un proiect de transformare digitală ce începe cu oamenii – modul în care ei învață, înțeleg și adoptă importanța datelor personale și a respectării lor în toți pașii unei procesări.
67
Catalog GDPR Ready
Despre ce înseamnă normele EU GDPR, cui se adresează și pe cine protejează. Regulamentul EU GDPR despre drepturile cetățenilor Să își primească datele cu caracter personal Să refuze profilarea de către companiile cu care interacționează Să fie uitați de sisteme/newsletter-e/sms-uri/reclame pe orice mediu Să ceară ștergerea datelor cu caracter personal deținute de companii în orice scop Să ceară daune interese companiilor care îi procesează datele, dacă nu se respectă cele de mai sus Companiile din zona Telco, Banking, Pharma, Retail, Utilități, Online, Food, Entertainment, Hospitality, Legal și Medical cu care cetățenii interacționează colectează și profilează datele personale. Peste 9.5 milioane de conturi Facebook în România, peste 40 de mii de pagini Facebook, peste 1 trilion de poze într-un an. Sunt doar câteva statistici care ne pot da o idee despre posibilitățile infinite ca datele dumneavoastră personale să nu mai fie chiar atât de personale. Setul nou de reguli ce reglementează confidențialitatea și securitatea datelor cu caracter personal, stabilite de Comisia Europeană, pe scurt GDPR, va intra în vigoare pe 25 Mai anul curent. Aceste reguli impactează companiile dar au fost create pentru cetățeni. Dacă vreți o comparație abruptă, gândiți-vă la bonul fiscal. Este dreptul cetățeanului să îl primească, iar compania de unde cumpăra produsul a trebuit să întreprindă o serie de acțiuni pentru aceasta. Contract cu banca, achiziția POS-ului, contract cu furnizorul de internet, instruirea personalului ș.a.m.d. Impune companiilor schimbări în practici, procese dar mai ales mentalitate, pentru ca oamenii care vin în contact cu ele să primească ceva.
68
Catalog GDPR Ready
Schimbarea trebuie să apară întâi în mentalitate. Pentru că absolut toți suntem subiectul acestui set de reguli. Directorul general al unei companii are responsabilitatea implementării GDPR în compania pe care o conduce, pentru clienți, furnizori și angajați. El la rându-i este cel pentru care alte companii implementează setul unic de reguli. Din păcate treaba cu schimbatul mentalității durează. Evident că există și amenzi pentru companiile ce nu sunt conforme, care pot merge până la 4% din cifra de afaceri globală, sau 20 milioane de euro, fiind aleasă suma cea mai mare. Să presupunem că ești într-o industrie în care marginea este de 4%. Și că cifra ta de afaceri este 10 milioane de euro. Tehnic, amenda pe care o poți primi pentru nonconformitate cu GDPR poate fi 20 milioane de euro. Acum că știm măcar în mare despre ce este vorba, haideți să vedem ce e de făcut. Avem două variante: Ne apucăm, împreună cu personalul din companie, să studiem regulamentul
1
2016/679. Pe site-ul ANSPDCP există chiar și un ghid orientativ de aplicare a Regu-
lamentului privind Protecția Datelor destinat operatorilor. Nu are multe pagini dar este orientativ. Dacă nu avem competențele necesare e posibil să dureze mult până să reușim implementarea corectă. Apelăm la companii care au experiența și competențele necesare furnizării unei
2
soluții care, deși urmează aceleași etape generale, poate fi personalizată pe industria
sau mărimea companiei. Dacă vă imaginați că este complicat, ei bine, nu greșiți. Pentru că protecția datelor este un proces care implică persoane, procese și tehnologie. Cu alte cuvinte, dacă vă gândiți că delegați aceasta sarcină către departamentul de IT (că doar ei se ocupă de tot ce înseamnă parole și conturi într-o companie) nu veți rezolva nimic.
69
Catalog GDPR Ready
Nici dacă îl pasați către departamentul de PR sau Juridic nu veți avea rezultatele scontate. Adevărul este că Regulamentul EU GDPR este cea mai importantă schimbare a reglementării privind confidențialitatea datelor în ultimii 20 de ani! Și fie că încercați să puneți la punct singuri totul, fie că apelați la serviciile unei companii abilitate, nu există doar un departament implicat. Este responsabilitatea unei echipe întregi. Avem nevoie de programe de conștientizare și educare a resursei umane din companie. Și trebuie schimbată cultura organizațională. Și, în unele cazuri, în urma unui audit, va trebui să angajați un DPO (Data Protection Officer). Partea de procese trebuie modificată astfel încât colectarea să fie justificată și explicată și în același timp trebuie estimate riscurile și impactul asupra protecției datelor. Vor trebui definite procese de raportare a incidentelor, apoi făcute teste și evaluări. Va trebui probabil să audităm și să actualizăm partea de IT și tehnologie. Sunt multe companii pentru care serverul înseamnă doar un computer mai slăbuț, că nu este nevoie de mai mult. Sau care folosesc software piratat.
Persoane, procese și tehnologie. Investiție de timp și bani. Pasul 1 – identificarea datelor Trebuie să cunoașteți ce date sunt colectate. De unde? De ce? Cum se procesează și cine are acces? Cât timp le păstrăm? Când și către cine se transferă? Pasul 2 - Gestionează – controlează cum se utilizează datele cu caracter personal Trebuie să înțelegem ce tip de date personale procesăm, cum anume o facem și în ce scop. Identificarea acestora este primul pas făcut către înțelegere. Ne trebuie un plan de gestionare a datelor – cu politica, rolurile și responsabilitățile pentru acces, management și folosire a datelor personale. Clasificarea datelor ne ajută să avem o imagine mai clară. Pasul 3 – Protejează Pentru acest pas avem nevoie de măsuri tehnice și organizaționale pentru prevenirea pierderii datelor personale sau accesării neautorizate a acestora. Pasul 4 – Raportează Aici e vorba despre transparență. Trebuie să putem să dăm informații despre cum operăm și procesăm datele personale dar și detalii despre documentația care definește procesele și utilizarea acestora. Avem nevoie de documente de evidență a scopurilor
70
Catalog GDPR Ready
procesării, a categoriilor de date personale, a identității terților către care facem transferul, a măsurilor organizaționale și de Securitate. De asemenea, este foarte important să avem evidența cu țările (dacă este cazul) care primesc date personale. Aici trebuie menționat faptul că nu contează dacă aveți o companie care nu este în UE. Dacă operați date personale ale unor cetățeni din UE, compania dumneavoastră se supune GDPR. Pentru asta există instrumente de audit care pot ajuta la asigurarea că orice prelucrări de date - fie că sunt colectate, utilizate, partajate sau nu - sunt urmărite și înregistrate. Sintetic EU GDPR ar arăta așa: Confidențialitatea personală
Măsuri de control și notificări
Persoanele au dreptul: Să își acceseze și să își exporte datele cu caracter personal; Să își șteargă datele cu caracter personal; Să corecteze greșelile din datele lor cu caracter personal; Să se opună prelucrării datelor lor cu caracter personal.
Companiile și organizațiile trebuie: Să protejeze datele cu caracter personal prin măsuri de securitate adecvate; Să notifice autoritățile despre încălcări privind datele cu caracter personal; Să obțină consimțământul pentru colectarea și prelucrarea datelor cu caracter personal; Să țină evidențe detaliate despre activitățile de prelucrare a datelor.
Transparență
IT și instruire
Companiile și organizațiile trebuie să aibă politici care: Să comunice clar colectarea datelor; Să precizeze de ce și când se prelucrează datele cu caracter personal; Să stabilească politici de păstrare și ștergere a datelor.
Companiile și organizațiile vor fi obligate: Să își instruiască angajații despre bune practici de confidențialitate și securitate; Să auditeze și actualizeze politicile privind datele; Să angajeze, dacă este cazul, un responsabil de protecția datelor; Să redacteze și gestioneze contracte conforme cu furnizorii.
Mai jos avem reprezentarea grafică a capitolelor legate de legalitatea prelucrării datelor, și articolele din lege cu referire la acestea.
ASBIS Romania are partenerii, producătorii și soluțiile potrivite pentru a accelera adoptarea și implementarea Regulamentului EU GDPR în compania ta: Programe de conștientizare și educare a resursei umane din companie legat de EU GDPR Soluții Microsoft Soluții BlackBerry Software Soluții Storagecraft O altă greșeală pe care o puteți face este să credeți că avem timp. Dacă nu ați început deja procesul de implementare, nu mai amânați! Paul Belcin vă stă la dispoziție: paul.belcin@asbis.ro, +4 0745 751 825.
71
Catalog GDPR Ready
Toată lumea vorbește despre GDPR. Dar sunteți pregătiți? Ce este GDPR? Regulamentul general privind protecția datelor („GDPR”) este un nou regulament privind protecția vieții private în întreaga Uniune Europeană. Acesta conferă cetățenilor UE mai mult control asupra datelor lor personale, asigură transparență în ceea ce privește utilizarea datelor și impune anumite controale tehnice și organizaționale pentru protecția datelor. GDPR intră în vigoare la 25 mai 2018 și înlocuiește Directiva UE privind protecția datelor („Directiva”).
Cine va fi afectat de GDPR? Fiecare companie care desfășoară activități în Europa și colectează date cu caracter personal ale persoanelor (rezidenți UE) va trebui să elaboreze un program de conformitate cu GDPR.
Pregătiți-vă pentru GDPR, concentrându-vă pe acești patru pași esențiali: 1. Descoperiţi: trebuie să știți ce date cu caracter personal aveți și unde sunt situate. 2. Supravegheaţi: gestionaţi modul în care datele cu caracter personal sunt utilizate şi accesate în cadrul organizaţiei dumneavoastră. 3. Protejaţi: dezvoltați un program puternic de securitate. Instituiți controale de securitate pentru a preveni, detecta și răspunde la vulnerabilități și încălcări ale securității datelor. 4. Raportaţi: elaborați o politică de răspuns la încălcarea securității datelor. Executați cereri de date, raportați situații de încălcare a securității datelor și păstraţi documentele necesare. Ingram Micro Cloud oferă prin partenerii săi, un portofoliu vast de soluții cloud care vă vor asigura uneltele de care aveți nevoie pentru a parcurge acești pași necesari. Iată câteva exemple de soluții potrivite pentru fiecare din cei 4 pași esențiali pentru stabilirea unei politici de GDPR.
72
Catalog GDPR Ready
Profitați de experiența bogată a partenerilor Ingram Micro Cloud și lăsați-ne să fim consultanţii de încredere care să vă ghideze în legislația GDPR. Pentru mai multe informații, contactați-ne direct sau vizitați www.ingrammicrocloud.ro/gdpr Contact: Mihaela Babeanu Cloud Lead @ Ingram Micro Distribution Email: cloudro@ingrammicro.com I Mobile: +40 752288464
73
Catalog GDPR Ready
Privacy One. Consultanţă în protecţia datelor personale de peste 10 ani. Privacy One e un proiect specializat în consultanță în domeniul protecției datelor personale și dreptului IT. Avem o experiență vastă în lucrul cu aspectele tehnice și juridice ale publicității online, comerțului electronic, dezvoltărilor software, industriei cloud etc. Lucrăm în acest domeniu de mulţi ani, am participat la scrierea legislației referitoare la protecția datelor personale, în România, iar în prezent ne asistăm clienţii la implementarea programelor de conformare la GDPR.
Ce servicii oferim? Simplist vorbind, ajutăm clienții noștri să își înțeleagă rolul și să implementeze reguli care să îi ajute să respecte prevederile GDPR.
1 2 3 4 5 6
Training specializat pentru echipa de management, înainte de demararea unui proces de conformare la prevederile GDPR. Analiza modului în care compania prelucrează date personale, urmată de generarea unui plan de acțiuni menit să asigure conformarea la prevederile GDPR. Asistență și consultanță pentru îndeplinirea punctelor identificate prin planul de acțiuni de conformare. Procedura de realizare a evaluărilor de impact și realizarea efectivă a evaluărilor de impact privind protecția datelor, în cazul unor prelucrări ce implică un risc asupra
drepturilor și libertăților personelor vizate. Asistență în procedura de transfer de date la nivel internațional: Privacy Shield & SCC, clauze ad-hoc și autorizarea acestora, asistență în negocierea contractelor de
transfer. Asistență în procesul de realizare a strategiei de identificare, comunicare internă și notificare a incidentelor de securitate
74
Catalog GDPR Ready
7 8
Asistență în abordarea situației generate de un anumit incident de securitate. Training specializat pentru DPO-ul companiei, prin intermediul Academiei DPO (detalii, mai jos), training pentru personalul companiei, pe departamente, pentru
înțelegerea conceptelor GDPR și simplificarea implementării planului de conformare.
De ce suntem diferiţi? În primul rând, pentru că vorbim limba clienților noștri. Cumulăm cunostințe tehnice, juridice și de afaceri, avem experiență suficientă pentru a înțelege în cele mai mici amănunte perspectiva unui client din lumea tehnologiei, a comerțului electronic etc. În al doilea rând, pentru că n-am devenit specialiști în prelucrarea datelor personale peste noapte. Facem acest lucru de peste 10 ani, din perioade în care domeniul era unul de pionierat. Iar experiența acumulată ca urmare a acestor ani de lucru ajută clienții noștri într-un mod extrem de palpabil: nu percepem onorarii „ca să învățăm” pe pielea unui client cum se face un anumit lucru. În al treilea rând, pentru că suntem traineri, lunar, la cursurile Academiei DPO. 22 de ore de discuții, analize și demonstrații extrem de practice, într-un mediu în care se integrează oameni din cele mai mari companii românești. E, de departe, cel mai bun laborator în care un specialist își poate îmbunătăți argumentele și înțelegerea teoretică și practică a prevederilor GDPR. Pentru detalii, vă invităm să accesați www.privacyone.ro.
Am creat Academia DPO Ajuns, în februarie 2018, la a șaptea ediție și la peste 150 de participanti care i-au trecut pragul, Academia DPO este un curs practic de perfecționare în legislația privind protecția datelor personale, pentru responsabilii cu protecția datelor personale din România. Lectorii academiei DPO sunt partenerii din spatele proiectului Privacy One. Andreea Lisievici și Alin Popescu au o experiență extrem de vastă în interpretarea și aplicarea legislației privind proțectia datelor personale. Sunt specialisti care au ajutat la construcția practicilor existente astăzi în industrii precum comerțul electronic sau publicitatea online. Au o solidă pregătire tehnologică, de natură să le permită să construiască un curs extrem de practic și interactiv, de urmat de orice DPO care vrea sa se specializeze cu adevărat în această materie. Pentru detalii, vă invităm să accesați www.academiadpo.ro.
75
Catalog GDPR Ready
Sunteți pregătiți pentru noul regulament general de protecție a datelor (GDPR) ? La 25 Mai 2018 va intra in vigoare cel mai amplu regulament de confidenţialitate a datelor - Regulamentul general privind protecţia datelor (GDPR). După această zi gestionarea datelor nu va fi niciodată la fel. Regulamentul general privind protecția datelor va cere organizațiilor să gestioneaze în mod corespunzător datele cu caracter personal și să ia în serios protecția acestor date. În conformitate cu raportul anual publicat de Identity Theft Resource Center, în 2016 numărul încălcărilor securității datelor cu caracter personal a crescut cu 40% față de anul 2015, ceea ce demonstrează că există riscuri reale ca datele personale să fie furate sau pierdute. Pentru a face față acestei provocări crescânde, guvernele intensifică și pun în aplicare reglementări solide pentru a se asigura că datele cu caracter personal sunt protejate. Organizațiile și companiile vor avea două opțiuni: să respecte regulile stricte de gestionare a datelor personale conform GDPR sau să fie supuse unor sancțiuni și amenzi substanțiale. Vă propunem să aruncăm o privire asupra felului în care Veritas vă poate ajuta să rezolvați această problemă. Regulamentul GDPR descrie pe parcursul a 99 de articole numeroasele cerințe privind modul în care organizațiile trebuie să gestioneze datele personale începând din luna mai 2018. Conformarea cu GDPR este o provocare a proceselor de afaceri iar tehnologia va avea un rol foarte important în a adresa aceste provocări - Veritas a identificat zonele unde poate ajuta iar apoi a mapat capabilităţile soluţiilor din portofoliu la cerinţele specifice ce decurg din GDPR. Am împărțit aceste zone în 5 categorii principale: LOCALIZARE – Descoperiți datele personale și faceți-le vizibile. CĂUTARE – Faceți ca datele personale să poată fi căutate/găsite. MINIMIZARE – Păstrați doar informațiile de care aveti nevoie și asigurați controlul datelor personale. PROTEJARE – Protejați datele personale împotriva pierderilor, distrugerilor și breșelor de securitate. MONITORIZARE – Asigurați respectarea continuă a standardelor GDPR.
76
Catalog GDPR Ready
LOCALIZARE – Descoperiţi datele personale şi faceţi-le vizible Primul pas, considerat critic pentru o organizație sau companie, este și cel mai important pentru conformarea cu GDPR. Practic, acest proces constă în capabilitatea de a obține o concepție holistică despre locul în care se află toate datele personale deținute și de a le putea identifica imediat. Acest lucru poate fi făcut prin realizarea unei cartografieri a datelor, prin care să înţelegem cine are acces la acestea, cât timp sunt păstrate sau ce spaţiu ocupă pe diferite sisteme de stocare și, în sfârșit, modalitatea în care sunt mutate sau copiate pe diferite platforme cu scopul de a îmbunătăți managementul acestora. Această hartă este «cheia» pentru a înțelege modul în care organizația gestionează și procesează datele personale. Toate aceste informații sunt oferite de Veritas cu ajutorul tehnologiei Veritas Data Insight și Veritas Information Map. Din acest punct de vedere, Veritas are o abordare unică, respectiv: 1. Identifică tipul fișierelor, află proprietarul, locația și vechimea acestora, în cel mult 24 ore. 2. Oferă o „poză” în timp real a mediului companiei și o monitorizare continuă. 3. Inițiază o remediere a datelor printr-un cadru integrat de acțiuni. În continuare este prezentată o captură de ecran din Information Map unde se pot vedea informații în timp real despre locația datelor companiei, tipurile de fișiere, proprietarii și sursele de date, share-urile din rețea, dimensiunea fișierelor, etc.
77
Catalog GDPR Ready
Acesta este primul stadiu și reprezintă elementul fundamental pentru atingerea conformității în ceea ce privește articolul 30 din GDPR. CĂUTARE - Căutarea datelor în conformitate cu articolele 15, 16, 17, 18, 20 ale GDPR. Rezidenții UE pot solicita acum vizibilitate în toate datele personale deținute de o organizație prin trimiterea unei solicitări de acces la subiect (Subject Access Request - SAR). De asemenea, pot solicita corectarea datelor (dacă sunt incorecte), portarea lor (folosind un format de export adecvat) sau ștergerea acestora. Asigurarea că organizația dvs. poate efectua și deservi aceste solicitări în timp util este esențială pentru evitarea sancțiunilor GDPR în baza articolelor 15,16,17,18 și 20. În acest sens, Veritas are o soluție lider de piață, numită Veritas eDiscovery Platform. Această soluție dispune de un motor puternic de căutare și indexare permițând descoperirea atributelor și proprietăților datelor personale, punând la dispoziție și un mecanism inteligent de învățare cu scopul de a identifica automat articolele relevante și elementele similare pentru o examinare detaliată ulterioară. De asemenea, soluția oferă și un flux de lucru integrat pentru procese de analiză și verificare fără a mai fi nevoie de operațiuni suplimentare de import sau export a datelor. MINIMIZARE – Păstrarea informațiilor de care avem nevoie şi asigurarea controlului datelor personale în baza articolelor 5,17 & 32 ale GDPR. Micșorarea volumului de date stocat de către companii, una dintre principalele reguli ale GDPR, este concepută pentru a se asigura că organizațiile reduc cantitatea totală de date cu caracter personal stocate pe diferite tipuri de echipamente. Acest lucru se realizează numai prin păstrarea datelor cu caracter personal pentru o perioadă de timp, direct legată de scopul propus inițial. Implementarea și aplicarea politicilor de retenție, care expiră în mod automat datele, stabilesc piatra de temelie a strategiei GDPR.
78
Catalog GDPR Ready
Prin soluțiile Enterprise Vault si Enterprise Vault.Cloud, compania Veritas oferă inclusiv posibilitatea de clasificare completă în funcție de conținut şi context, putând să eticheteze automat fișierele şi mesajele de email care conțin date personale și să controleze astfel procesul de retenție până la nivel de element. Odată făcută etichetarea, va fi ușor să găsiți date cu caracter personal utilizând instrumentele puse la dispoziție de Veritas. PROTEJARE – Protejați datele pesonale împotriva pierderilor, distrugerilor şi breșelor de securitate în temeiul articolelor 5, 25, 32, 33, 34, 35 din Regulamentul GDPR: În conformitate cu noul regulament GDPR, organizațiile au obligația generală de a pune în aplicare o serie de măsuri tehnice și organizatorice pentru a arăta că au luat în considerare protecția datelor în toate activitățile de colectare și prelucrare a datelor personale. Indiferent dacă se desfășoară activități de formare a personalului, se efectuează audituri interne ale activităților de prelucrare sau catalogarea documentației relevante privind activitățile de prelucrare, organizațiile trebuie să fie pe deplin pregătite să demonstreze transparența în ceea ce privește validarea conformității cu GDPR. Aceasta înseamnă că este mai important decât oricând să revizuim procesele de protecție și de securitate a datelor și să ne asigurăm că îndeplinim aceste cerințe stricte de recuperare, disponibilitate și prevenire (și notificare). Veritas oferă o serie de soluții cum ar fi NetBackup, Data Insight, InfoScale, Resiliency Platform sau Access, prin intermediul cărora se asigură o protecție excelentă a datelor și aplicațiilor in mediile enterprise și nu numai, pe platforme independente de sisteme de operare (Windows, Linux, Unix), folosind inclusiv capabilități de integrare cu o gamă extinsă de furnizori de servicii de cloud. MONITORIZARE – Asigurați respectarea continuă a standardelor GDPR, articolele 5, 15, 16, 17, 18, 20, 24, 35, 42, 44, 45: Noul Regulament GDPR obligă toate organizațiile să raporteze anumite tipuri de încălcări ale securității datelor în cadrul autorității de supraveghere competente și, în anumite cazuri, să prezinte aceste aspecte persoanelor care au fost afectate de încălcarea menționată anterior. Ca urmare a acestei obligații, companiile trebuie să își evalueze capacitatea de monitorizare a activităților de contravenție și să declanșeze imediat procedurile pentru asigurarea conformității cu GDPR. Veritas pune la dispoziție soluții consacrate cum ar fi Data Insight și Enterprise Vault care oferă posibilitatea de a căuta foarte rapid în datele personale (date nestructurate, email, servere de fișiere, SharePoint, etc.) cu scopul de a permite investigatorilor să analizeze și să identifice fișierele ce prezină riscuri sau anumite comportamente anormale ale utilizatorilor și apoi, să remedieze aceste probleme printr-un singur click. Pentru o analiză și mai amănunțită, imediat după declanșarea riscului, se pot activa politici de retenție la nivelul acestor fișiere. În final, experții de la Veritas Advisory Services se angajează îndeaproape cu fiecare client pentru a realiza o evaluare cuprinzătoare a mediului existent cu scopul de a ajuta companiile să înțeleagă mai bine maturitatea la care s-a ajuns din punct de vedere GDPR.
79
Catalog GDPR Ready
Valoarea adăugată adusă de implementarea directivelor GDPR în infrastructura de date Conformitatea cu GDPR este și un bun prilej de dezvoltare pentru companiile inovatoare care își doresc să gestioneze responsabil datele personale cu care operează în actuala eră digitală. După cum declară Colin Truran, strategul principal pentru tehnologie al companiei americane Quest Software, se pune prea mult accent pe sancțiunile date în caz de nerespectare a prevederilor, deși focusul ar putea fi chiar valoarea adăugată adusă de Regulament organizației. Organizațiile care implementează procedurile GDPR au șansa să devină exemplare în privința administrării și securității datelor și pot să le ofere clienților și partenerilor nivelul de protecție și resursele necesare pentru a se simți cu adevărat în siguranță, ținând cont de mediul actual de partajare excesivă a datelor. Și aceasta este adevărata perspectivă care trebuie atribuită prevederilor din Regulament. Pentru asigurarea conformității din punct de vedere operațional, gama de soluții specializate Quest™ asigură o varietate de soluții de management, protecție a datelor, monitorizare, audit și raportare care ajută la implementarea în bune condiții a noilor reglementări. Prevederile sunt de asemenea o bună ocazie de a revizui din nou politicile de securitate ale informației în organizație. Acestea setează contextul potrivit pentru ca fiecare angajat să știe ce nivel de acces are la datele cu caracter confidențial, câtă responsabilitate implică acest lucru și ce mijloace sunt disponibile în cazul apariției problemelor. De exemplu, soluțiile One Identity pentru gestionarea identităților, a conturilor privilegiate și a controlului accesului cuprind o gamă variată de instrumente pentru îmbunătățirea securității și conformității, asigurând în același timp eficiența administrării accesului. În ultima vreme, hackerii au folosit breșele de securitate create prin conturile privilegiate ale utilizatorilor pentru acces la date cu caracter ridicat de confidențialitate.
80
Catalog GDPR Ready
One Identity oferă de asemenea soluții pentru securitate la nivel de management a conturilor privilegiate, prin acces securizat la sesiuni de lucru si parole privilegiate, pentru atingerea unui nivel ridicat de conformitate. Din gama de soluții pentru consolidarea securității datelor, recomandăm soluția CyberQuest™ de la Nextgen Software, care centralizează datele relevante de analiză din toate platformele de securitate instalate în mediul de date al organizației. Acestea sunt doar câteva dintre gamele de soluții recomandate de experți care pot ajuta infrastructura de date a organizației să fie pregătită pentru conformitate. Prin soluțiile furnizate de management și securitate a sistemelor informatice, experții Q-East Software asigură companiilor și instituțiilor competențele necesare unor implementări eficiente în contextul Regulamentului GDPR. Pentru mai multe detalii, ne puteți contacta la telefon 021.222.43.55 sau prin e-mail la adresa office@qeast.ro.
Breșe de securitate în GDPR (Urmare din pagina 61) Faza 2 va fi momentul în care se stabilește un plan solid pentru colectarea, utilizarea și stocarea datelor și în care se va crea o arhitectură de referință, de securitate și măsuri tehnice/organizaționale(TOM) pentru protecția datelor, începând cu securitatea „by design” și „by default”. Scopul organizației în Faza 3 va fi de a transforma practicile, punând în valoare importanța datelor personale atât pentru organizație, dar mai ales pentru persoana de la care au fost colectate. În Faza 4, se va începe administrarea programului, inspectând datele, monitorizând accesul la date personale, prin testarea securității și prin curățarea datelor care nu sunt necesare. În Faza 5 se vor îndeplini cererile de acces la date, corecții, ștergere și transfer. Organizația devine pregătită pentru audituri ale activităților sale și este gata să informeze autoritățile de reglementare și persoanele vizate în cazul unei breșe de securitate a datelor.
www.agora.ro a.ro PRIMA TA SURSĂ ÎN TEHNOLOGIA INFORMAŢIEI ŞI COMUNICAŢIILOR CAŢIILOR
81
Catalog GDPR Ready
Information Centric Security, o soluție pentru GDPR General Data Protection Regulation (GDPR) este definitivat și cerinţele lui sunt clare. La bază stă ideea de confidenţialitate ca drept fundamental. Pentru a realiza acest lucru organizaţiile trebuie să adopte conceptele de confidenţialitate prin design și responsabilitate. Deci, deși GDPR este o evoluţie a cadrului existent de protecţie a datelor personale, lumea din jurul său a evoluat suficient din punct de vedere tehnologic pentru a lăsa în urmă protecţia datelor. Descoperirea datelor personale, a modului în care acestea sunt utilizate și accesate în organizație este o problemă cu care multe organizații se confruntă. Patru întrebări simple demonstrează amploarea problemelor pe care conformitatea cu GDPR le poate prezenta organizațiilor: Ce date am? Unde sunt stocate date și pentru ce perioadă? Sunt securizate datele și controlul accesului la acestea? Folosesc datele pentru scopul în care au fost colectate inițial?
82
Catalog GDPR Ready
Symantec Information Centric Security are ca scop principal protecția datelor. Acest lucru se realizează prin combinarea inovatoare a tehnologiilor cheie de protecție a datelor și de analiză permițând organizațiilor să identifice, să monitorizeze și să protejeze date confidențiale, inclusiv date care sunt mutate în cloud și sunt folosite de organizații terțe. Si dacă vă îngrjorează că datele au căzut în mâini greșite aveți informații rezultate în urma analizelor pentru a evidenția utilizatorii riscanți și controale de acces de la distanță pentru a bloca utilizarea unui document oferind protecție în timp real împotriva unui atac.
Cum ajută Information Centric Security cu GDPR Multe organizații vor utiliza GDPR ca impuls pentru revizuirea și îmbunătățirea modului în care datele cu caracter personal sunt securizate. Iată un proces logic, în patru pași: 1. Care sunt principalele riscuri pentru sistemul meu actual de protecție a datelor? 2. Cum pot identifica și monitoriza datele sensibile, oriunde ar circula? 3. Cum pot să protejez datele și să mă asigur că doar utilizatorii vizați au acces? 4. Cum acționez dacă descopăr o breșă de securitate?
În această secțiune vă vom arăta cum vă ajută tehnologiile Symantec Information Centric Security în acest proces.
1
Care sunt principalele riscuri pentru sistemul meu actual de protecție a datelor?
Symantec vă ajută să evaluați expunerea datelor și riscul asociat din cadrul organizației. Symantec oferă clienților o soluție de prevenire a pierderii datelor (Data Loss Prevention - DLP) pentru a ajuta la identificarea proactivă a amenințărilor înainte ca acestea să devină o problemă majoră. Procesul constă din monitorizare și scanare pasivă DLP în rețeaua de producție oferind informații despre riscul asociat proceselor de afaceri nefuncționale și activității rău intenționate. El afișează unde se află datele sensibile din rețea, unde se deplasează și modul în care angajații le folosesc. De exemplu, datele agregate din evaluările de risc DLP arată că 1 din 50 de fișiere de rețea este expus și 1 din 400 de e-mailuri conțin informații confidențiale care pot ieși din organizație fără a fi protejate. Organizațiile pot obține vizibilitate cu privire la riscurile cibernetice prin intermediul Symantec Information Centric Analytics (ICA) cu motor Bay Dynamics. Prin colectarea și corelarea unei cantități mari de informații din surse variate de protecție a datelor și din sistemele de securitate, Information Centric Analytics vă permite să identificați utilizatorii și comportamentele riscante pentru a defini noi strategii de protecție a datelor. Scorul de risc al utilizatorilor se poate calcula pe baza comportamentului trecut și prezent și a incidentelor de date. Acest scor poate dezvălui riscuri ce conduc la o breșă în sistemul de protecție a datelor.
83
Catalog GDPR Ready
2
Cum pot identifica și monitoriza datele sensibile, oriunde ar circula? Pentru a vă asigura că sunteți în măsură să protejați în mod adecvat datele
sensibile (inclusiv cele definite în cadrul GDPR) trebuie să le puteți identifica în rețea (în cadrul sistemelor de partajarea de fișiere, baze de date sau endpoint-uri) și să le inventariați. Symantec Data Loss Prevention include politici GDPR predefinite ce pot fi personalizate pentru a căuta automat tipuri de date specifice regulamentului și a le proteja în mod adecvat. DLP monitorizează datele oriunde sunt stocate și transmise prin intermediul protocoalelor de rețea (precum email sau web) sau chiar transferate din endpoint-uri prin diferite medii de stocare sau chiar a memoriei clipboard. Pentru situațiile în care angajații generează date despre care știu că sunt private, Symantec permite utilizatorilor să clasifice datele. Integrarea Symantec DLP și CloudSOC (Cloud Access Security Broker) permite de asemenea ca datele sensibile, structurate sau nestructurate, să fie identificate și monitorizate în cloud. DLP reduce, de asemenea, probabilitatea pierderii datelor prin capacitatea de a construi procese automate de notificare pentru a educa utilizatorii cu privire la comportamentele care pun în pericol datele cu caracter personal. O cauză semnificativă a încălcării datelor o reprezintă acțiunile utilizatorilor rău intenționați care au acces la date și le extrag din organizație. Symantec Information Centric Analytics corelează accesul utilizatorilor cu folosirea datelor cu caracter personal, oferind o imagine de ansamblu asupra comportamentului obișnuit și neobișnuit al utilizatorilor.
3
Cum pot să protejez datele și să mă asigur că doar utilizatorii vizați au acces?
Symantec Information Centric Security (ICS) oferă protecție completă a datelor personale pe parcursul ciclului de viață, prin criptare bazată pe politici și gestionarea accesului. Acesta beneficiază de tehnologia DLP, cloud access security broker și de clasificarea datelor pentru a descoperi informații senzitive și a le proteja prin intermediul Information Centric Encryption (ICE). Symantec Information Centric Encryption oferă protecție automată a datelor sensibile atunci când acestea sunt distribuite în afara companiei către furnizori sau parteneri de afaceri. Cheile de criptare rămân întotdeauna sub controlul organizației. Accesul la date este limitat la utilizatorii autorizați indiferent de locație și dispozitiv prin intermediul autentificării Symantec VIP cu doi factori (2FA). Cu DLP este posibil, de asemenea, să controlați transferul de date către destinatari în care nu aveți încredere deplină și care nu sunt încă pregătiți pentru GDPR și să aplicați restricții de geolocație pentru utilizatorii care încearcă să acceseze datele din cloud prin CASB Gateway. În plus, accesul la date poate fi revocat oricând dintr-o locație centrală atunci când este necesar.
84
Catalog GDPR Ready
4
Cum descopăr o breșă de securitate și cum răspund în 72 de ore? Descoperirea unei breșe de securitate poate fi o sarcină dificilă și deseori
organizațiile își dau seama că acest lucru a avut loc doar după o perioadă lungă de timp. Indicatori legați de breșă ar putea fi descoperiți în numeroase sisteme dar analiza unui set foarte mare și divers de informații necesită resurse semnificative. Symantec Information Centric Security oferă telemetrie extinsă care este analizată împreună cu detaliile despre accesul utilizatorilor și a alertelor din alte sisteme de securitate de către Symantec Information Centric Analytics. Sistemul ajută la identificarea unui comportament anormal al unui anumit utilizator sau al unei mașini. Prin conectarea la sistemul DLP puteți avea vizibilitate asupra datelor care au fost expuse. Symantec oferă, de asemenea, soluții de monitorizare a amenințărilor, cum ar fi Advanced Threat Protection și Cyber Security Services, care depășesc însă scopul acestei prezentări. Prin rularea unui raport de criptare, organizațiile pot dovedi că datele au fost protejate. Monitorizarea centralizată a accesului permite organizațiilor să urmărească datele sensibile și să identifice de către cine și de unde au fost accesate după o bresă de securitate. Chiar dacă datele au fost expuse de utilizatorii autorizați, este posibilă revocarea rapidă a accesului. Informația Centric Security ajută la asigurarea respectării regulementului de protecție a datelor cu caracter personal prin furnizarea unei strategii cuprinzătoare de protecție a datelor ce oferă politici GDPR predefinite, protecția verificabilă a datelor sensibile și analiza investigației pentru a răspunde rapid la o breșă de securitate. Pentru informații suplimentare sau prezentări detaliate ale soluțiilor menționate contactați Romsym Data, distribuitor autorizat Symantec în România. (www.romsym.ro)
85
Catalog GDPR Ready
Este timpul să ne gândim la GDPR Cum puteţi integra USB-urile criptate în strategia GDPR Un scenariu de zi cu zi Un angajat descarcă documente de pe calculatorul de la locul de muncă pe un stick USB, pentru backup, pentru a lucra de acasă sau pentru a trimite o prezentare. Angajatul părăsește biroul, iar în drum spre casă, stick-ul USB îi cade din buzunar. Datele de pe dispozitiv nu sunt criptate și, prin urmare, sunt accesibile oricui conectează stick-ul la un calculator. Conform unui studiu recent, jumătate dintre cei care găsesc, din întâmplare, un stick USB îl conectează la un calculator. În cel mai bun caz, pierderea unui dispozitiv USB reprezintă doar o situație nefericită. Pierderea unui USB cu date confidențiale sau personale reprezintă, însă, o poveste diferită.
Pe 25 mai 2018, actuala legislație din 1995 privind protecția datelor va fi înlocuită de Regulamentul UE privind protecția generală a datelor (EU GDPR). Regulamentul GDPR UE vizează consolidarea protecției datelor cu caracter personal pentru cetățenii din Uniunea Europeană, prin „dreptul de a fi uitat”, precum și prin viitoarea legislație privind protecția datelor în UE. Este, de asemenea, o încercare de a unifica diferitele legislații naționale, ce pot crea confuzie prin suprapunerile și diferențele prezente la nivelul fiecăreia dintre ele. Amenzile pentru datele cu caracter personal, cum ar fi numele, data nașterii, detaliile bancare sau dosarele medicale care sunt divulgate pot ajunge până la 4% din veniturile globale ale unei organizații sau 20 de milioane de euro (cea mai mare valoare dintre acestea). În plus, persoanele în cauză vor trebui să fie informate dacă datele cu caracter personal au fost compromise, iar notificări vor trebui trimise inclusiv unei autorități de supraveghere. Acest lucru înseamnă că o încălcare a securității datelor cu caracter personal – pe lângă costurile directe, cum ar fi, de exemplu, amenzi sau taxe legale – va genera automat și costuri indirecte prin publicitate negativă, pierderea încrederii clienților și, în cele din urmă, a afacerii. Prin urmare, organizațiile ar trebui să înceapă revizuirea și verificarea proceselor și politicilor IT interne și să le modifice în mod corespunzător.
86
Catalog GDPR Ready
Unul dintre cele mai neglijate riscuri îl reprezintă necriptarea dispozitivelor USB din companie. Dacă aveți impresia că gradul de utilizare a stick-urilor USB este în scădere, un studiu recent a arătat că aproximativ 90% dintre respondenți folosesc cel puțin un stick USB în interes de serviciu. Dintre acești utilizatori, un procent alarmant de 44% au raportat că unul sau mai multe dispozitive au dispărut în timpul utilizării în companie (50% dintre acestea au fost raportate pierdute, 11% au fost furate și în 39% din cazuri nu a fost clar ce s-a întâmplat cu dispozitivul). Un alt rezultat îngrijorător este că aproape jumătate dintre angajații intervievați au declarat că stochează pe stick-urile USB atât date personale, cât și de serviciu. Rezultatele studiului au mai relevat că, în aproximativ o cincime din companiile chestionate, angajații salvează date sensibile pe dispozitivele USB. Cu toate acestea, 93% au raportat că nu folosesc dispozitve USB criptate pentru a stoca aceste date. Prin urmare, se poate trage concluzia că neglijența organizațiilor și a angajaților în utilizarea dispozitivelor USB reprezintă un risc semnificativ pentru companii. Îmbunătățirea rețelei sau a securității informatice reprezintă o activitate continuă pentru departamentele IT, deoarece hacking-ul sau atacurile ransomware sunt o problemă tot mai răspândită. Într-o lume din ce în ce mai mobilă, în care angajații lucrează frecvent de acasă sau într-un mediu BYOD, companiile vor trebui să răspundă mult mai bine problemelor de securitate care apar odată cu «datele mobile». Pentru a deveni conforme cu regulamentul GDPR UE privind datele mobile, le recomandăm organizațiilor să ia în considerare următorii cinci pași. În primul rând,
87
Catalog GDPR Ready
este esențial ca organizațiile să înțeleagă noul regulament și implicațiile acestuia. În al doilea rând, trebuie să evalueze datele personale și sensibile prelucrate la nivel de organizație, să stabilească cine are acces la ele și ce date părăsesc organizația. Al treilea pas ar trebui să fie definirea unei strategii pentru date, precum și a politicilor cu privire la cine primește acces la anumite date și pe ce dispozitiv. Următorul pas se referă la tehnologia utilizată, o alternativă fiind stick-urile USB criptate. Regulamentul UE GDPR nu impune o anume tehnologie care trebuie utilizată pentru a proteja datele personale, dar menționează criptarea ca o opțiune ce trebuie luată în considerare. Dispozitivele USB criptate sunt adesea opțiunea cea mai sensibilă și eficientă din punct de vedere al costurilor pentru protejarea «datelor mobile». În cele din urmă, organizațiile trebuie să se asigure că angajații cunosc noua legislație, că sunt respectate politicile de protecție a datelor și este utilizată tehnologia potrivită. În acest stadiu, este important să rețineți că acest lucru nu se aplică numai datelor pe care trebuie să le protejați din punct de vedere juridic, ci și datelor sensibile pe care doriți să le protejați din punct de vedere economic. Pentru a veni în sprijinul organizațiilor care trebuie să devină conforme cu EU GDPR, Kingston Technology oferă servicii accesibile criptate (DTVP 3.0), de înaltă securitate (DT4000 G2), precum și dispozitive USB cu taste (DT2000). În plus, prin intermediul liniei de produse IronKey achiziționate recent, Kingston furnizează soluții de certificare FIPS 140-2 Level 3 pentru organizațiile care au nevoie de cel mai înalt nivel de criptare și securitate. De asemenea, partenerul software al Kingston, DataLocker® Inc., oferă platformele SafeConsole® și Enterprise Management Services (EMS) pe care atât Kingston, cât și IronKey, le utilizează în administrarea dispozitivelor criptate. Ambele permit administratorilor IT să gestioneze dispozitivele USB criptate într-un mod centralizat, astfel încât să îndeplinească cerințele de conformitate și să ofere un nivel de suport superior. Funcționalitățile includ setarea parolelor de la distanță, configurarea parolei și a politicilor de securitate ale dispozitivului, activarea programului de audit pentru procesul de conformitate, distrugerea unității de la distanță și multe altele. După cum am menționat deja, criptarea datelor cu caracter personal este în prezent una dintre cele mai moderne modalități de protecție a datelor. Criptarea datelor personale nu trebuie să fie complicată, deoarece un dispozitiv USB criptat face acest lucru automat în fundal. Utilizatorii se întâlnesc cu acest proces de criptare doar în momentul în care dispozitivul este conectat la un calculator, fiind necesară o parolă. Nu e nevoie de cunoștințe tehnice, ceea ce înseamnă că o astfel de soluție este foarte ușor de implementat și utilizat. Simplitatea în utilizare este esențială, o soluție extrem de greoaie crescând riscul ca angajații să renunțe să o folosească. Prin investiția în dispozitive USB criptate cu un algoritm de criptare pe 256 de biți, organizațiile pot bifa unul din obiectivele GDPR de pe lista obligatorie. E un obiectiv mic, dar foarte important. Pentru unele organizații, acesta poate fi un teritoriu nefamiliar, dar suntem convinși că le putem sprijini în procesul de conformare la cerințele GDPR și în asigurarea unei tranziții ușoare de la o legislație privind protecția datelor la alta.
88
Catalog GDPR Ready
89
Catalog GDPR Ready
Conformitatea cu GDPR prin intermediul criptării Soluția ESET: Endpoint Encryption GDPR a fost dezvoltat pentru consolidarea și unificarea drepturilor de confidenţialitate online și pentru protecţia datelor persoanelor fizice din UE, concentrând obligaţiile de protejare a datelor de către companiile care deservesc cetăţenii UE, într-un regulament unic, faţă de 28 de legi naţionale diferite. Aproape orice companie este sub incidența acestor prevederi, trebuind să identifice rapid modalitățile prin care poate să se alinieze eficient la noile cerințe. Regulile sunt complexe, iar amenzile pentru nerespectarea legislației sunt semnificative (penalitățile pot ajunge până la 4% din cifra de afaceri sau 20 de milioane €, oricare valoare este mai mare). Criptarea datelor sensibile din sistemele companiilor care colectază astfel de date poate ajuta la îndeplinirea multor cerințe esențiale din GDPR. Soluția ESET Endpoint Encryption este simplu de instalat și poate cripta în condiții de siguranță diferite tipuri de medii sau fișiere. ESET Endpoint Encryption permite îndeplinirea obligațiilor privind securitatea datelor, prin implementarea facilă a unei politici de criptare, păstrând în același timp o productivitate ridicată. Cu un consum redus de resurse și cicluri de desfășurare scurte, soluția se distinge prin flexibilitate și ușurință în utilizare.
Ce oferă Endpoint Encryption Criptare simplă și puternică (full disk, partiție, folder, fișier, email) pentru organizațiile de toate dimensiunile, criptând în siguranță fișierele de pe hard disk-uri, dispozitivele portabile și documentele trimise prin e-mail Certificare: criptare FIPS 140-2 cu validare 256 bit AES; Server de management hibrid bazat pe cloud pentru un control complet de la distanță a cheilor de criptare endpoint și a politicii de securitate;
90
Catalog GDPR Ready
Suport extins pentru Windows 10, 8, 7, Vista, XP SP 3; Microsoft Windows Server 2003-2012; Apple iOS. La nivel de client este necesară o interacțiune minimă cu utilizatorul, securizarea datelor companiei fiind posibilă prin instalarea unui singur pachet MSI. La nivel de server se asigură administrarea avansată, în grupuri, a utilizatorilor și a stațiilor de lucru și se extinde protecția companiei dincolo de rețeaua proprie.
Ce spune Regulamentul despre protejarea datelor? În Articolul 32 privind Securitatea proceselor se precizează: „[...] operatorul și procesatorul trebuie să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, în care se includ, printre altele, după caz: a) anonimizarea sau criptarea datelor cu caracter personal [...]” Criptarea este cel mai simplu și sigur mod de a asigura securitatea datelor, în conformitate cu articolul 32 din GDPR. Tehnologia este un mijloc stabilit de protejare a informațiilor vulnerabile în caz de furt sau de pierdere. GDPR face referire de asemenea la necesitatea existenței unor planuri eficiente de restaurare în caz de dezastru, la proceduri de recuperare a parolei și de gestionare a cheilor. Unul dintre principiile cheie al GDPR este asigurarea securității corespunzătoare a datelor cu caracter personal. Criptarea este considerată o măsură tehnică adecvată pentru a realiza acest lucru. În cazul în care criptarea este utilizată ca o măsură tehnică, ea trebuie să fie însoțită de posibilitatea restabilirii datelor imediat după un incident, iar înregistrările trebuie să fie păstrate pentru a dovedi permanent că sistemele sunt sigure și recuperabile.
91
Catalog GDPR Ready
Care sunt regulile de notificare în cazul unei breșe de date? Notificarea unei încălcări a securității datelor cu caracter personal colectate către autoritatea de supraveghere presupune ca autoritatea să fie notificată, dacă este posibil, nu mai târziu de 72 de ore după ce organizația în cauză devine conștientă de breșa respectivă. Orice notificare trimisă după intervalul de 72 de ore trebuie să fie însoțită de o justificare motivată a întârzierii. Comunicarea unei breșe de date cu caracter personal către persoana vizată presupune ca atunci când încălcarea securității datelor poate duce la un risc ridicat în privința drepturilor și libertăților persoanelor fizice, operatorul să comunice situația, fără întârzieri nejustificate. Însă, nu este necesară comunicarea către persoana vizată, dacă sunt îndeplinite următoarele condiții: autoritatea de control a pus în aplicare măsuri tehnice de protecție și de organizare adecvate, iar aceste măsuri au fost aplicate în prealabil datelor afectate în urma breșei, în special măsuri prin care datele personale scurse să nu poată fi accesate de persoane neautorizate, cum ar fi criptarea. Criptarea este considerată fără dubiu o garanție suficientă pentru a exclude aceste riscuri și consecințele implicite pentru reputația corporativă. Soluția ESET Enpoint Encryption este disponibilă pentru descărcare în versiune de evaluare (trial) pe www.eset.ro, alături de multe informații utile care analizează în detaliu cerințele GDPR și modul în care acestea sunt acoperite de soluția de criptare ESET.
92
6XQW IRDUWH PXOWH GH VSXV GHSUH *'35 'H DFHHD DP FUHDW $FDGHPLD '32 XQ FXUV SUDFWLF LQWHUDFWLY SHQWUX FHL FDUH YRU VÅ VH VSHFLDOL]H]H °Q FDULHUD GH UHVSRQVDELO FX SURWHFĥLD GDWHORU SHUVRQDOH GH RUH GH FXUV SH SDUFXUVXO D ]LOH FX H[SOLFDĥLL FDUH VLPSOLȴFÅ PXOW °QĥHOHJHUHD FRQFHSWHORU S¤QÅ °Q IHEUXDULH DX SDUFXUV $FDGHPLD '32 SHVWH GH SDUWLFLSDQĥL ZZZ DFDGHPLDGSR UR DESPRE PRIVACY ONE 3ULYDF\ 2QH H XQ SURLHFW VSHFLDOL]DW °Q FRQVXOWDQĥD °Q GRPHQLXO SURWHFĥLHL GDWHORU SHUVRQDOH ŊL GUHSWXOXL Ζ7 $YHP R H[SHULHQĥÅ YDVWÅ °Q OXFUXO FX DVSHFWHOH WHKQLFH ŊL MXULGLFH DOH SXEOLFLWÅĥLL RQOLQH FRPHUĥXOXL HOHFWURQLF GH]YROWÅULORU VRIWZDUH LQGXVWULHL FORXG HWF /XFUÅP °Q DFHVW GRPHQLX GH PXOΐL DQL LDU °Q SUH]HQW QH DVLVWÅP FOLHQΐLL OD LPSOHPHQWDUHD SURJUDPHORU GH FRQIRUPDUH OD *'35