Catalog Cloud Computing
2018 / Ediţia a IX-a
Ediţia a III-a
România
GDPR Catalog Solving Specific Business Challenges in Industries & Departments
Catalog GDPR Ready
Cum vom reuși să păstrăm GDPR pe termen lung?
L
a doar câteva zile după intrarea în vigoare a noului Regulament EU 2016/ 679 piața românească nu este încă pregătită pentru importanța momentului. Departamentele de HR nu sunt conștiente de rolul lor de operator de date senzitive. Oamenii de
marketing nu știu ce să facă cu vechile baze de date. Forțele de vânzări nu sunt instruite pentru introducerea prospecților în CRM. Foarte puține contracte conțin clauze explicite de confidențialitate a datelor personale. Majoritatea site-urilor comerciale condiționează consimțământul clienților de accesul la conținut. Firmele mici habar nu au ce e de făcut. Prin „GHIDUL GDPR PE VERTICALE” vrem să vă oferim câteva elemente despre activitățile
concrete pe care trebuie să le abordăm în funcție de problemele specifice și provocările cu care se confruntă departamentele cheie dintr-o companie, precum resursele umane, marketingul și vânzările, de la maparea proceselor de business și a datelor, la analizele de impact și de risc și adoptarea strategiei de protecție pe termen lung și crearea unei culturi GDPR la nivel de organizație. Câteva constatări după momentul 25 mai: Inexistenţa unei Politici elementare de IT la nivelul unor organizații mijlocii și mari. Chiar și
1 2 3 4
acolo unde există niște norme interne, acestea nu se aplică. Harababură privind procesarea, păstrarea și transferul datelor la nivelul departamentelor de resurse umane și a ecosistemului de parteneri care procesează datele angajaților. Lipsa unei strategii clare privitoare la transparență în echipele de marketing. Se copiază și se aplică șabloane culese de pe site-uri, fără a se înțelege esența principiilor GDPR. Inexistenţa unei percepții reale privitoare la rolul pozitiv al GDPR pentru schimbarea şi transformarea în bine a unei organizații. Oamenii nu au viziune de ansamblu pentru șansele
lor în business, închistați fiind de necunoaștere, neînțelegere şi preluarea inadecvată a unor „sfaturi de bine”. Lipsa de interes a unor manageri de departamente - altele decât HR, FINANCIAR, Juridic,
5
IT - care cred ca ei nu au nicio responsabilitate și că e treaba altora să își batã capul cu asta...
Ca o concluzie, aş puncta faptul că dincolo de inexistenţa unor tehnologii adecvate care
pot rezolva bună parte din vulnerabilitățile de prelucrare și stocare a datelor cu caracter personal, principala frână sunt oamenii, care nu sunt învățați să respecte niște norme și proceduri elementare. Problema principală în orice companie va fi nu atingerea unor condiții de conformitate GDPR, ci păstrarea acestora pe termen lung... Radu Crahmaliuc, Analist și Consilier GDPR
1
Catalog GDPR Ready
Conținutul editorial al acestui Ghid este realizat pe baza unei acumulări de cunoaștere intensive, care reunește considerente teoretice și practice provenite din multiple resurse. Ca și în edițiile precedente ale Cataloagelor noastre, valoarea acestui conținut este mult amplificată de părerile unor specialiști care vă oferă recomandările lor. Iată principalii contributori și titlul articolelor lor:
Radu CRAHMALIUC – „GHID GDPR PE VERTICALE”, pag. 3-46
COLABORATORI Anca CRAHMALIUC – „Despre GDPR și respectul pentru interlocutor”, pag. 47-50
Dana Cristina MATACHE – „Aplicarea GDPR pentru departamentele de resurse umane și recrutare” pag. 50-52
Daniel SUCIU – „Rolul și problemele departamentului IT în implementarea GDPR ”, pag. 52-54
Tudor GALOŞ – „Cei 7 ani de acasă în politica de Cookies”, pag. 55-57
Ion IORDACHE – „Australia, o ţară non-UE conștientizează impactul GDPR asupra mediului său de afaceri”, pag. 58-60
Iulian MATACHE – „Provocări aduse de datele cu caracter personal în industria telecom” pag. 61-62
Dan Cristian MATEI – „ISO 27001 - un sprijin real pentru conformitatea GDPR/RGPD”, pag. 63-65
2
Catalog GDPR Ready
GHID GDPR PE VERTICALE
25 de întrebări și răspunsuri despre B2B, IMM, HR, Marketing, Data Centere, Distribuție, ISO 27001 și Cultura GDPR 1
CARE SUNT DIFERENȚELE GDPR ÎNTRE RELAȚIILE B2B ȘI CELE B2C?
Unul dintre cele mai discutate subiecte în această perioadă este modul în care se aplică noul regulament european în relațiile curente de afaceri. De ce am avea nevoie de consimțământul unor oameni cu care suntem de ani buni în relații de afaceri pentru a le trimite e-mailuri? Multe dintre datele partenerilor sau clienților noștri sunt publice pe site-urile de companie sau pe cărțile de vizită pe care ni le dau. Și multe alte întrebări legate de necesitatea atâtor măsuri de precauție și proceduri… Realitatea este că GDPR nu aplică datelor personale din zona de business un regim preferențial față de zona de retail… Toate datele B2B și B2C sunt la fel de importante și în consecință trebuie să avem egală responsabilitate față de ele. Desigur că în interpretarea diferitelor articole și preambuluri din Regulamentul 679/ 2016 precum și în ghidurile de aplicare emise de Grupul de Lucru Articolul 29 de multe ori apare o oarecare îngăduință pentru tot ce ține de zona B2B, pe care foarte mulți o consideră destul de eronat în afara obiectivului și domeniului de aplicare material definite încă din primele 2 articole ale GDPR. Deși în marea majoritate a cazurilor datele B2B nu sunt atât de critice precum cele ale utilizatorilor finali, asta nu înseamnă că nu trebuie să avem grijă de ele. Modul în care se poate face acest lucru va fi discutat în cele ce urmează, în funcție de situațiile specifice pentru diferite procese de business și domenii de activitate.
3
Catalog GDPR Ready
2
SUNT CĂRȚILE DE VIZITĂ DATE PERSONALE?
Definiția datelor personale din Art. 4 GDPR relevă faptul că orice date de identificare direct sau indirect identificabile reprezintă date personale. Adresa de email în care apare cel puțin o componentă a numelui, telefonul de serviciu, adresa locului de muncă și alte informații care pot conduce la stabilirea identității profesionale a unei persoane constituie date personale, cu egală valoare individuală cu cele legate de telefon, email și adresă personală. Există o serie de false mituri care sunt atribuite relațiilor B2B și care pleacă în principal de la cazurile care solicită sau nu prezența unui consimțământ, în special în comunicarea directă prin e-mail. Dar dacă citim cu atenție Art. 6 GDPR referitor la Legalitatea prelucrării, vom vedea că obținerea consimțământului nu este singurul temei legal și că în zona relațiilor de afaceri existența unor condiții contractuale sau interesul legitim dictat de profilul de business constituie în marea majoritate a cazurilor suficiente garanții pentru continuitatea în business și derularea unor acorduri B2B comune. Din perspectiva transparenței, cărțile de vizită pe care le schimbăm în activitățile noastre cotidiene conțin surse de date personale asupra cărora trebuie să ne concentrăm în egală măsură atenția. Oricine ne dă o carte de vizită nu numai că își dă acceptul, dar are și toate motivele să spere că vom folosi acele date pentru dezvoltarea de activități ulterioare reciproc avantajoase. E greu de crezut că cineva care ne-a dat datele sale de business ne va refuza vreodată comunicarea sau va protesta pe motive legate de încălcarea drepturilor la viață privată… Și asta e valabil evident pentru cei care au interese comune de business. Cei cu experiență în marketing și vânzări știu și că datele de business sunt și foarte perisabile, în sensul în care multe dintre contactele actuale peste trei-patru luni nu mai sunt valabile și trebuie făcute eforturi consistente pentru actualizarea sistematică a informațiilor de contact. Trebuie să avem permanent în vedere că toate acestea sunt valabile doar pentru relațiile de business directe. De oricâte ori ajungem în posesia unei baze de date cu adrese de serviciu prin metode indirecte, avem datoria de a anunța persoanele respective care este sursa de proveniență a acestor date și în ce scop le contactăm, conform Art. 14 din GDPR.
3
CARE SUNT PAȘII ESENȚIALI PENTRU ALINIEREA LA GDPR PENTRU IMM?
O companie de dimensiuni mici, cu o activitate de regulă uni-profesională, poate opta pentru un proiect de implementare GDPR construit pe câteva etape de bază. Evident că o astfel de companie se poate baza pe un flux de date mult mai simplu decât o organizație mijlocie sau mare, care derulează multiple activități. GDPR definește destul de vag care sunt cerințele specifice pentru un astfel de business, dar spune destul de explicit că nu este nevoie de un DPO, nu e nevoie să facă o analiză de impact (PIA/ DPIA), dare e
4
Catalog GDPR Ready
nevoie să respecte Articolul 30, referitor la evidența proceselor de prelucrare a datelor personale. Iată un model pentru o astfel de abordare de tip fast-forward, care presupune parcurgerea a 6 etape: CONȘTIENTIZARE: înțelegerea importanței GDPR pentru indivizi și organizație RESPONSABILITATE: Stabilirea unei echipe și a unui responsabil de proiect EVIDENȚĂ: Identificarea datelor personale și evidența prelucrării acestora REVIZUIRE CONTRACTE ȘI POLITICI: Analiza abordărilor prioritare RISCURI ȘI BREȘE: Analiza posibilelor riscuri și un plan de reacție rapidă în caz de breșe CULTURA GDPR: adoptarea de proceduri și tehnici pentru alinierea la GDPR pe termen lung.
4
CARE ESTE IMPACTUL GDPR ASUPRA IMM-urilor?
Regulamentul general privind protecția datelor (GDPR) a ținut titlurile multor publicații în ultimele 12 luni. Diferitele studii de piață realizate în această perioadă arătau cât de greu le va veni marilor companii să se alinieze până la 25 mai 2018, în contextul în care datele personale sunt greu de identificat, de protejat sau de șters. De la bun început mulți considerau IMM-urile ca victime sigure în acest efort prin lipsa posibilităților de investiții în audituri și analize realizate de casele de profesioniști. Dar ceea ce mulți nu au luat în considerare este faptul că din multe puncte de vedere un IMM se poate descurca mult mai bine într-un proiect de reorganizare, investiții și aliniere. Chiar dacă nu dispun de fondurile celor mari, managerii unei companii mici sunt direct interesați în continuitatea afacerii și implicit sunt dispuși să investească. Mulți manageri de IMM nu numai că deleagă pe cineva să se ocupe de caz, ci chiar participă necondiționat la întregul proiect de implementare a celor mai importante măsuri de aliniere. Într-o companie mică, întreprinzătorul devine și sponsor și șef de proiect. Și e mult mai capabil să își aleagă cea mai bună și mai eficientă echipă, care de multe ori îi include pe toți ceilalți angajați. Sunt mai expuse companiile mici la atacuri cibernetice decât cele mijlocii sau mari? Teoretic așa ar trebui să fie, pentru că nu dispun de infrastructura la care ceilalți au acces. Un studiu Juniper Research apreciază că peste jumătate din IMM-urile din țările UE consideră că sunt în siguranță față de atacurile cibernetice, dar jumătate din acestea au suferit o încălcare a datelor. În acest context, necesitatea de a proteja mai eficient datele cu caracter personal nu a fost niciodată mai evidentă, chiar și la nivel de IMM. GDPR va consolida protecția informațiilor personale. Indiferent de mărime, toate companiile care își desfășoară activitatea în UE vor avea obligația să colecteze, să stocheze și să utilizeze informațiile cu caracter personal într-un mod mai sigur. Deși există puține
5
Catalog GDPR Ready
domenii în care IMM-urile sunt recunoscute ca având mai puține resurse și capacități decât întreprinderile mai mari, întreprinderile mici pot să se bucure de o anumită marjă de manevră în ceea ce privește documentația și păstrarea înregistrărilor. Gradul de libertate în acest stadiu este încă incert. Oferind IMM-urilor posibilitatea de a demonstra că au adoptat o abordare proactivă a protecției datelor, a confidențialității și a îndeplinirii cerințelor GDPR, autoritățile de reglementare vor colabora cu aceștia pentru orice problemă care ar putea apărea. Angajarea consultanților potriviți și documentarea tuturor acțiunilor întreprinse vor constitui cheia pentru respectarea normelor și pentru a evita amenzi mari care ar putea avea un efect disproporționat asupra IMM-urilor. Există deja multe ghiduri și îndrumare care adresează nevoile de informare ale unui IMM. Orie companie trebuie să acționeze acum pentru a se asigura că înțeleg acțiunile necesare pentru a obține conformitatea. Primul pas este efectuarea unui audit de procesare a datelor pentru a identifica eventualele lacune în sistemele dvs., acordând în același timp suficient pentru a le rectifica.
5
DE CE E IMPORTANT GDPR PENTRU RESURSELE UMANE?
GDPR are ca scop armonizarea legislației privind confidențialitatea datelor în Europa cu reguli stricte privind stocarea și utilizarea datelor cu caracter personal. Departamentele de resurse umane au luat GDPR în mod serios pe tot globul. Această reglementare are un impact evident asupra resurselor umane, dacă sediul organizației se află în Europa. Dar, indiferent dacă organizațiile dvs. au câteva operațiuni mici sau activități mari în Europa, acestea afectează în același timp datele privind resursele umane din Europa. Ca și în cazul oricărei noi reglementări, organizațiile de pretutindeni se gândesc cum să se conformeze cu datele consumatorilor, marketingului, clienților și chiar angajaților și candidaților. Amenințarea unor amenzi care pot să ne scoată din business, mesajele controversate venite pe canale neconvenționale, lipsa uni strategii coerente, ignoranța, eforturile interne nesincronizate, lipsa unor surse și a unui suport oficial pentru departamentele sau companiile de HR și lipsa practicilor comune sunt doar câțiva dintre factorii care generează confuzie. Una dintre cele mai frecvente și mai păguboase atitudini este cea în care datele personale prelucrate de resursele umane sunt considerate cel mai puțin critice deoarece „sunt angajații noștri și lucrează pentru noi”. Practica demonstrează că în marea majoritate a companiilor din zona de business departamentele HR sunt cele mai critice pentru organizație, fiind singurele care prelucrează date cu caracter special în calitate de operator. Este important ca toate departamentele de resurse umane să reconsidere poziționarea lor în organizație și să abordeze GDPR cu toată responsabilitatea administrării celui mai de preț bun al companiilor: oamenii.
6
Catalog GDPR Ready
Efectuați un audit al datelor pe care le posedați și acest lucru vă va ajuta să identificați orice puncte de slăbiciune și zone care pot reprezenta un risc. De asemenea, asigurați-vă că stabiliți responsabilitatea și asigurați transparență completă atunci când vă ocupați de datele angajaților dvs. GDPR nu este o reglementare simplă, dar este important ca HR să fie pregătiți, dacă nu sunt deja.
6
CE ÎNSEAMNĂ GDPR PENTRU ADMINISTRAREA RELAȚIILOR CU ANGAJAȚII?
Printre cei mai afectați de Regulamentul UE privind protecția generală a datelor vor fi departamentele de resurse umane. Regulamentul extinde în mare măsură obligațiile angajatorilor față de personalul lor, iar angajatorii vor trebui să informeze acum angajații cu privire la dreptul lor de a face o cerere de acces la date și de a rectifica sau șterge datele cu caracter personal. Aceștia vor trebui, de asemenea, să informeze personalul cu privire la durata stocării datelor și la transferarea datelor către țări terțe. GDPR se aplică, de asemenea, unui set mai larg de funcții HR. Acesta acoperă nu numai angajatorii care prelucrează datele personale ale angajaților, ci și furnizorii de servicii de resurse umane care procesează date în numele angajatorului. În prezent, furnizorii de servicii au doar o obligație contractuală față de angajator, dar nu sunt responsabili pentru respectarea legilor privind protecția datelor.
7
CE TREBUIE SĂ ȘTIE DEPARTAMENTELE DE HR DESPRE GDPR?
Păi, în primul și în primul rând să știe Principiile… - Pentru a procesa datele personale ale angajaților dvs., trebuie să respectați cele șase „principii de protecție a datelor”. Datele personale trebuie să fie: prelucrate în mod legal, corect și transparent; colectate numai în scopuri specificate, explicite și legitime; adecvate, relevante și limitate la ceea ce este necesar pentru scopul pentru care sunt colectate; exacte și actualizate; păstrat nu mai mult timp decât este necesar; și păstrate în siguranță. Există un „principiu de răspundere” care acoperă în continuare principiul care impune demonstrarea conformității cu cele șase principii de protecție a datelor. În pus, pentru ca datele cu caracter personal să fie procesate în mod legal, trebuie să stabiliți cel puțin o bază legală pentru prelucrare. Ceea ce este relevant în contextul ocupării forței de muncă include: Consimțământul: angajatul a dat consimțământul clar pentru a vă prelucra datele personale într-un anumit scop.
7
Catalog GDPR Ready Contract: procesarea este necesară pentru a vă respecta obligațiile contractuale față de angajat. Obligație legală: procesarea este necesară pentru a vă conforma obligațiilor legale. Interes legitim: procesarea este necesară pentru interesele legitime ale dvs. sau ale unei terțe părți și este echilibrată împotriva oricărui impact asupra intereselor angajatului. Datele din categoriile speciale - Informațiile despre sănătatea unui angajat vor fi „date de categorie specială”. Acestea sunt date personale pe care GDPR le consideră mai sensibile și au nevoie de o protecție suplimentară. Pe lângă bazele legale de procesare de mai sus, datele din categoriile speciale pot fi prelucrate numai atunci când este îndeplinită cel puțin o condiție suplimentară pentru prelucrarea datelor din categoriile speciale. Ce poate fi relevant în contextul manipulării informațiilor despre sănătatea unui angajat în gestionarea absenței de boală este includerea dovezii că includ locul în care angajatul a dat consimțământul explicit. Cu toate acestea, o problemă pentru angajatori în a se baza pe consimțământ ca bază legală pentru prelucrarea datelor cu caracter personal în cadrul GDPR este că acordul trebuie să fie «dat în mod liber» și la fel de ușor persoana vizată să se retragă așa cum trebuie să dea. Va fi dificil pentru angajatori să se bazeze pe consimțământ, dat fiind dezechilibrul relației dintre angajator și angajat. În consecință, companiile sunt sfătuite să nu se bazeze pe consimțământ atunci când este posibil și să caute o altă bază legitimă pentru prelucrare. Condițiile alternative în care pot fi prelucrate datele cu caracter special includ prelucrarea, în cazul în care aceasta este necesară pentru: scopurile exercitării obligațiilor sau drepturilor angajatorului sau angajatului conform legii muncii, cum ar fi nediscriminarea unui angajat sau respingerea acestuia în mod incorect; stabilirea, exercitarea sau apărarea revendicărilor legale; sau evaluarea capacității de lucru a unui angajat, sub rezerva garanțiilor de confidențialitate. Trebuie să informați angajații dvs. cu privire la natura oricărei prelucrări pe care o efectuați - inclusiv bazele legale pe care se bazează pentru orice procesare - într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, folosind un limbaj clar și simplu. Acest lucru trebuie făcut prin intermediul unei notificări privind confidențialitatea pusă la dispoziția tuturor angajaților. În cazul în care intenționați să vă bazați pe „obligațiile necesare pentru ocuparea forței de muncă sau drepturile” sau „evaluarea capacității de muncă a unui angajat” pentru prelucrarea datelor de categorie specială, trebuie să aveți un document de politică adecvat în care să explicați procedurile dvs. pentru respectarea principiilor protecției datelor, precum și politicile dvs. privind păstrarea și ștergerea datelor din categoriile speciale. De asemenea, trebuie să păstrați o evidență a activităților dvs. de procesare. Este posibil
8
Catalog GDPR Ready
să vi se solicite să puneți aceste documente la dispoziția autorității naționale de supraveghere, dacă aceasta o cere. Consimţământul - În conformitate cu GDPR consimțământul trebuie să fie specific, informat și acordat în mod liber. Aceasta înseamnă că indivizii ar trebui să aibă o posibilitate de alegere reală și liberă pentru a accepta sau nu acordul pentru prelucrare și ar trebui să aibă posibilitatea de a refuza sau de a retrage consimțământul. Practica ne învață că este puțin probabil ca angajatorii să se poată baza pe consimțământ ca scop legitim pentru prelucrarea majorității datelor cu caracter personal, din cauza dezechilibrului puterii în relația angajator-angajat. Majoritatea activităților de prelucrare a angajatorilor vor intra în «alte scopuri legale», dar, în conformitate cu noile principii de responsabilitate, unui angajator trebuie să îi fie clar de la început temeiul legal pe care se bazează. În afara consimțământului, obiectivele legale ale GDPR pentru datele personale obișnuite includ prelucrarea pe bază de: interes legitim al operatorului de date; necesitatea executării unui contract; respectarea unei obligații legale; protejarea intereselor vitale ale persoanei vizate sau ale altei persoane fizice; sau necesitatea îndeplinirii unei sarcini în interes public. Dacă un angajator va continua să se bazeze pe consimțământ pentru orice aspect al prelucrării datelor angajaților, atunci trebuie să se asigure că: consimțământul este un «opt in» pozitiv, separat de ceilalți termeni și condiții de angajare. nu trebuie să fie vag și trebuie să fie revigorat la fiecare doi ani; consimțământul este specific pentru datele în cauză și pentru ce le utilizează angajatorul; dacă angajatorul partajează datele, fiecare parte terță este numită și se solicită consimțământul; angajatorul recomandă retragerea consimțământului și modalitatea de efectuare a acestuia; angajatorul păstrează înregistrări specifice privind acordul pentru a demonstra conformitatea. Solicitări de acces la date personale - Solicitarea de acces a subiectului (cunoscută internațional ca SAR) este adesea folosită drept levier în conflictele de muncă. GDPR va îmbunătăți drepturile angajaților de a accesa datele personale deținute de angajatori, le va da dreptul la informații mai detaliate cu privire la modul în care datele lor sunt procesate, va reduce termenele pentru răspunsul angajatorului și va elimina posibilele taxe curente pentru a răspunde unei SAR. Angajatorii sunt în prezent obligați să respecte un termen de răspuns de 40 de zile de la data solicitării. GDPR va scurta această perioadă, obligând angajatorii să se
9
Catalog GDPR Ready
10
Catalog GDPR Ready
11
Catalog GDPR Ready
conformeze fără întârzieri nejustificate și cel târziu în termen de 30 de zile, deși acest lucru poate fi prelungit cu până la două luni suplimentare pentru solicitări deosebit de complexe sau numeroase. Angajatorii ar trebui să ia în considerare punerea în aplicare a protocoalelor SAR specifice, inclusiv șabloanele de scrisori, și să realizeze o evaluare a capacității organizației de a izola rapid datele referitoare la o anumită persoană. Trebuie să existe formulare și îndrumare adecvate pentru a se asigura că personalul poate recunoaște și răspunde rapid și eficient la SAR și, în cazul în care intenționează să refuze o cerere, să fie conștienți de temeiul juridic pe care îl pot face. Cerința din cadrul GDPR de a oferi persoanelor mai multe informații ar putea duce la o mai mare conștientizare a acestor drepturi, cum ar fi dreptul de a face o cerere de acces la subiect (DSAR). În același timp, regulile privind DSAR sunt înăsprite, organizațiile având mai puțin timp să răspundă.
8
CARE SUNT PROBLEMELE SPECIFICE GDPR PENTRU RESURSELE UMANE?
Iată o serie de întrebări care n-ar trebui să lipsească din auditul oricărui departament de HR: Recrutare - furnizați solicitanților o notificare de confidențialitate adecvată care să explice modul în care datele lor personale vor fi folosite? V-ați asigurat că datele personale colectate în fiecare etapă a procesului de recrutare sunt proporționale și necesare? Aveți acorduri clare cu agențiile de recrutare? Baza legală pentru procesare - solicitați consimțământul atunci când aveți un alt temei juridic pentru procesare (de ex. prelucrarea este necesară pentru a vă conforma cu legea sau o datorie față de dvs. ca angajator)? Este legală monitorizarea angajaților tăi? Furnizați angajaților o notificare clară și transparentă privind confidențialitatea, care explică modul în care sunt utilizate datele personale și se explică drepturile lor ca persoană vizată? Politici și procese - ați revizuit politicile și procesele de date pentru gestionarea datelor personale? Evaluări de confidențialitate - efectuați o evaluare a impactului asupra vieții private înainte de orice proiect nou? Procesare de date terță parte - ați revizuit contractele dvs. cu terțe părți pentru a vă asigura că acestea sunt conforme cu cerințele GDPR? Cereri de acces la subiect - aveți resurse suficiente pentru a face față unei creșteri probabile a accesului persoanelor vizate? Puteți utiliza tehnologia pentru a simplifica constatările și a identifica informațiile care pot fi divulgate?
12
Catalog GDPR Ready Minimizarea datelor - domeniul de aplicare al unei solicitări de acces la subiect poate fi redus prin minimizarea valorii datelor personale pe care le dețineți. Aveți o politică de păstrare a înregistrărilor? Ce trebuie să fac? Identificați echipa și planificați-vă strategia de conformitate. Creați un registru al informațiilor despre informații - ce informații personale și unde, de ce, cum și cine le procesează. Examinați procesele de recrutare și documentația șabloanelor pentru diferitele chestionare. Examinați anunțurile dvs. privind confidențialitatea angajaților pentru a vă asigura că îndeplinesc noile cerințe. Examinați procesele și sistemele dvs. pentru a vă ocupa de drepturile persoanelor vizate și a monitoriza angajații. Implementați politicile și măsurile de guvernanță a datelor și instruire pentru a vă asigura că departamentul de resurse umane operează în conformitate cu cerințele GDPR. Examinați contractele dvs. cu agenții de recrutare și întreprinderi de ocupare a forței de muncă. Examinați aranjamentele privind lanțul de aprovizionare cu procesatorii de date, cum ar fi furnizorii de servicii IT și cei externalizați. Examinați datele pe care le dețineți și politicile și practicile privind păstrarea datelor.
9
CARE SUNT FLUXURILE DE DATE ÎN PROCESELE DE BUSINESS DIN ECOSISTEMUL HR?
În procesele de business aferente departamentelor sau birourilor de resurse umane fluxurile de date sunt relativ simple și sunt în principal guvernate de cele 6 principii: Managementul înregistrărilor în timpul procesului de recrutare (fluxul de date înainte de angajare, interviu pentru angajare). Acumulări de date în timpul procesului de angajare Înregistrări referitoare la angajați pe durata contractului de muncă Perioada de preaviz sau întreruperea temporară a contractului de muncă Perioada de după încetarea relațiilor de muncă – post angajare. Pentru oricare dintre aceste tipuri de relații de muncă va trebui să documentăm fluxul de lucru și să adaptăm procedurile curente din companie pentru a respecta principiile. Deși este un domeniu în care legislația reglementează o bună parte din modul de procesare a datelor, pot apărea situații în care putem decide minimizarea tipurilor de date folosite și a perioadei de stocare. De exemplu: Avem nevoie de informațiile despre rude înainte de a semna contractul de muncă? Trebuie să știm câți copii are candidatul în faza de interviu? Probabil ca nu! Folosirea datelor atunci când este nevoie, în forma în care e strictă nevoie, doar pentru scopul pentru care avem nevoie și mai ales, doar pentru
13
Catalog GDPR Ready
perioada în care avem nevoie constituie declarația de conformitate a oricărui departament care operează cu date personale, fie că acestea sunt ale angajaților, clienților sau partenerilor.
10 CARE ESTE ROLUL REȚELELOR SOCIALE LA RECRUTARE? Folosirea mediilor sociale de către persoane fizice este larg răspândită și este relativ obișnuit ca profilurile utilizatorilor să fie vizibile public, în funcție de setările alese de titularul contului. Ca urmare, angajatorii pot crede că inspecția profilurilor sociale ale potențialilor candidați poate fi justificată în timpul proceselor lor de recrutare. Angajatorii nu ar trebui să presupună că, datorită faptului că profilul media al unei persoane fizice este disponibil în mod public, li se permite să prelucreze aceste date în scopuri proprii. Pentru această prelucrare este necesar un motiv legal, cum ar fi un interes legitim. În acest context, angajatorul ar trebui să ia în considerare, înainte de inspectarea profilului social media, dacă profilul social media al solicitantului este legat de scopuri comerciale sau private, deoarece aceasta poate fi o indicație importantă pentru admisibilitatea juridică a datelor în cazul unei inspecții. În plus, angajatorilor li se permite să colecteze și să prelucreze date cu caracter personal referitoare la solicitanții de locuri de muncă, în măsura în care colectarea acestor date este necesară și relevantă pentru performanța postului pentru care se solicită. Persoana fizică trebuie, de asemenea, să fie corect informată cu privire la orice astfel de procesare înainte de a se angaja în procesul de recrutare. Conform celor stipulate de Grupul de Lucru Articolul 29 (29WP) în „Avizul 2/2017 privind prelucrarea datelor la locul de muncă” nu există un temei legal pentru ca un angajator să solicite potențialilor angajați să „devină prieteni” în social media pentru ca potențialului angajator să poată avea acces nerestricționat la conținutul profilurilor lor.
11 CE DOCUMENTE PERSONALE ALE ANGAJAȚILOR SUNT OBLIGAT SĂ PĂSTREZ ÎN ARHIVE? În cazul HR, există multe cerințe legale care justifică necesitatea de a colecta date despre angajați și contractori fără acordul prealabil. Dar nu toate aceste documente sunt subiectul legislației muncii care prevede o perioadă obligatorie de păstrare. Iată câteva exemple de documente care în legislația muncii a diferitelor țări din UE au sau nu au o perioadă de păstrare legală: Lista angajaților - document Datele de începere și datele de încetare a contractului de muncă al angajaților Condiții scrise de angajare (contract) Detalii salarizare și plăți de salariu Ore de muncă
14
Catalog GDPR Ready Copii aflați în întreținere Declarații pe proprie răspundere Notificări privind schimbarea situației familiare (copii în întreținere/ custodie, căsătorie, divorț, decese) Permise de angajare (pentru tineri sau candidați de altă cetățenie) Înregistrări privind concediul de maternitate Înregistrări privind concediile adoptive Înregistrări privind concediul parental Înregistrările concediilor de forță majoră Înregistrări privind concediile medicale Recrutare (aplicații nesolicitate, documentație referitoare la o poziție anunțată și la procesul decizional) Rapoarte de accidente de muncă Fișele medicale pentru cei api/ inapți de muncă Rapoarte și recomandări Medicina Muncii Documentația de instruire privind siguranța Documentația de instruire privind protecția datelor Documentația de instruire Beneficiari ai locuințelor de serviciu. Merită menționat faptul că, deși sunteți obligat din punct de vedere legal să păstrați anumite înregistrări, acestea nu sunt toate pentru uz zilnic și ar trebui să fie disponibile doar într-un anumit context. „Datele personale trebuie prelucrate într-un mod care să asigure o securitate adecvată a datelor utilizând măsuri tehnice sau organizatorice adecvate”. Principiul 6 (integritatea și confidențialitatea) GDPR În timp ce sunteți responsabili de păstrarea înregistrărilor, trebuie să vă asigurați că acestea sunt stocate și arhivate în siguranță. Aceasta înseamnă că trebuie să controlați cine are acces la date. Dacă departamentul HR este mic și nu aveți multe servere, asigurați-vă că calculatorul este bine protejat și că beneficiați de un backup zilnic. Când schimbați calculatorul, trebuie să vă asigurați că unitatea hard disk este ștearsă – o simplă formatare nu e suficientă!
www.agora.ro a.ro PRIMA TA SURSĂ ÎN TEHNOLOGIA INFORMAŢIEI ŞI COMUNICAŢIILOR CAŢIILOR
15
Catalog GDPR Ready
Cât timp se păstrează documentele de resurse umane în arhivă? OMEF 3512/2008 și Anexa 6 a Legii Arhivelor Naționale stabilesc următoarele termene de păstrare a documentelor de resurse umane: Statele de plată a salariilor și Registrul general de evidență a salariilor – 50 de ani de la crearea lor Dosarele de personal, contractele de muncă, convențiile civile de prestări servicii – 75 de ani de la creare Documentele societăților comerciale cu capital privat – 50 de ani de la crearea lor Registre de contabilitate și documentele justificative – 10 ani Documentele referitoare la tichetele de masă – 5 ani Notă de recepție și constatare de diferențe, dispoziție de livrare; fișă de magazie; listă de inventariere; dispoziție de plată/încasare către casierie; borderou de achiziție; ordin de deplasare (delegație); decont de cheltuieli (pentru deplasări externe); decizie de imputare; angajament de plată – 5 ani. Atunci când datele nu mai sunt cerute de lege, ștergerea datelor vă va reaminti că informațiile la care putem renunța nu vor face parte dintr-o potențială încălcare. În plus, nu trebuie să uităm că și angajații pot revendica dreptul „de a fi uitat”! Și veți fi obligați să răspundeți la acest fel de solicitare ori de câte ori prevederile legale nu ne obligă să păstrăm aceste tipuri de date.
12 CUM FACEM TRANSFERUL DOCUMENTELOR PERSONALE ÎN HR? Dacă trimiteți prin e-mail unele date legate de resursele umane, amintiți-vă că e-mailul nu este cel mai sigur mod de a trimite informații sensibile. În mod normal conținutul oricărui mesaj este criptat. Dar asta nu este valabil și pentru atașamente. Normele elementare din politicile IT sugerează parolarea și criptarea fișierelor pe care le transferăm în afara organizației și ștergerea zilnică a mesajelor de e-mail trimise la coșul de reciclare. În niciun caz să nu introduceți parola în conținutul aceluiași mesaj. Puteți folosi pentru asta un SMS sau un alt mesaj de tip text. Criptarea unui fișier are rol de protecție suplimentară, nu de ascundere a datelor sau de minimizare a acestora… Dacă nu aveți o aplicație sau o platformă HR, se recomandă menținerea unui jurnal al documentelor versiunilor acestora și modificărilor pe care le faceți. Este o durere de cap suplimentară, dar vă poate scuti de multe neplăceri.
13 CUM FACEM MANIPULARE SPECIALĂ ȘI LIMITATĂ A DATELOR DESPRE ANGAJAȚI? În timp ce GDPR oferă un cadru de reglementare uniform în toate jurisdicțiile UE, datele referitoare la resursele umane trebuie tratate în condiții speciale, prin diferențierea de datele privind consumatorii și cele de tip business-to-business (B2B). Datele HR pot
16
Catalog GDPR Ready
conține informații sensibile despre angajați, cum ar fi originea etnică, detaliile medicale și istoria criminalității. Angajatorii trebuie să respecte restricții și protecții speciale, deoarece GDPR plasează condiții pentru prelucrarea informațiilor sensibile. În plus, articolul 37 din GDPR mandatează angajatorii să desemneze un responsabil cu protecția datelor (DPO) atunci când activitățile centrale ale organizației includ monitorizarea periodică a persoanelor vizate la scară largă. Angajatorii ar putea, de asemenea, să respecte cerințele specifice privind protecția datelor specifice țării. În conformitate cu articolul 88 din GDPR, statele membre ale UE pot stabili mai multe restricții sau condiții speciale pentru prelucrarea datelor privind resursele umane. GDPR a stabilit deja un standard minim, însă statelor membre li se permite să stabilească aceste standarde mai mari. Germania a făcut deja acest lucru cu legislația națională privind protecția datelor conformă cu GDPR, care impune cerințe mai stricte privind monitorizarea angajaților și prelucrarea datelor angajaților. Angajatorii trebuie, de asemenea, să respecte legile muncii specifice fiecărei țări. Fiecare țară UE are propriile legi ale muncii, cu propriile controale privind modul în care organizațiile procesează și păstrează datele angajaților. Angajatorii vor trebui să se conformeze acestor legi ale muncii, plus legile specifice privind protecția datelor și contractele colective. Pentru mulți angajatori, îndeplinirea obligațiilor legislației locale a muncii va avea prioritate față de implementarea programelor de date HR care respectă standardele GDPR. Cu toate acestea, sindicatele și consillile de întreprinderi se vor concentra asupra negocierii și formalizării proceselor de date HR care respectă standardele GDPR. În consecință, aceștia vor susține drepturile angajaților în cadrul GPDR. Organizațiile trebuie să fie pregătite pentru cererile care vin pe cale legală din partea angajaților nemulțumiți sau a foștilor angajați, în special atunci când prelucrarea necorespunzătoare a datelor a determinat o decizie de angajare nefavorabilă. Companiile cu angajați care sunt reprezentate de consiliile de muncă sau consilii de lucru ar trebui să completeze programele de conformitate cu GDPR cu mult înainte de 25 mai 2018. Angajatorii nu se pot baza pe consimțământul angajatului de a procesa datele HR. Grupul de lucru «Articolul 29» (WP 29), un organism consultativ format din autoritățile UE de reglementare din fiecare stat membru, a informat că angajații nu sunt în măsură să ofere consimțământul în numele lor pentru colectarea, prelucrarea și transferul datelor privind resursele umane. Această orientare, care diferă de orientările privind consimțământul pentru consumatori și clienți, citează inegalitatea de negociere între angajatori și angajați. Trebuie stabilită o bază legală pentru ca angajatorii să colecteze și să proceseze informații despre angajați, cum ar fi: Să îndeplinească contractul de muncă Să se conformeze cerințelor legale Să avanseze un interes legitim al angajatorului
17
Catalog GDPR Ready
Pentru ca interesele legitime să fie valabile, angajatorul trebuie să efectueze o evaluare a impactului privind protecția datelor (DPIA) care să-și cântărească interesul față de drepturile de confidențialitate ale angajatului și să demonstreze că interesele sale depășesc orice posibil prejudiciu drepturilor de confidențialitate ale angajaților. Începând cu acel moment, angajatorii trebuie să precizeze în mod explicit interesul legitim față de notificările privind confidențialitatea angajaților.
14 CARE SUNT RESTRICȚIILE ȘI PROTECȚIEA SPECIALĂ PENTRU ANGAJAȚII MONITORIZAȚI? GDPR plasează restricții și protecții speciale pentru monitorizarea angajaților. În funcție de natura locului de muncă, angajatorii monitorizează activitățile angajaților mai mult decât monitorizează consumatorii. O companie poate urmări și restrânge activitățile computerului angajatului; să monitorizeze activitățile lor de social media; și / sau să urmărească locațiile angajaților prin dispozitive mobile și de urmărire GPS. Este obișnuit ca un loc de muncă să fie asigurat prin sisteme de supraveghere video care captează în mod obișnuit și înregistrează asemănările angajaților. Prin urmare, WP 29 a emis cerințe și garanții specifice pentru monitorizarea angajaților. Pentru a proteja angajații vulnerabili, articolul 35 din GDPR mandatează societățile să realizeze o DPIA, în timp ce există oricare dintre următorii factori: Un timp de procesare - în special prin utilizarea noilor tehnologii, care compromit drepturile și libertățile persoanelor fizice Evaluarea sistematică a aspectelor personale ale persoanelor fizice care se bazează pe prelucrare automată Profilarea bazată pe prelucrarea automată, pe baza căreia se iau decizii care au un impact juridic semnificativ asupra persoanei fizice Prelucrarea datelor la scară largă care sunt clasificate la articolul 9 alineatul (1) sau a datelor cu caracter personal referitoare la condamnările penale și infracțiunile menționate la articolul 10 Monitorizarea sistematică a unei zone accesibile publicului la scară largă.
15 CARE ESTE NOUA POLITICĂ DE MARKETING SUB GDPR? Regulamentul general european privind protecția datelor (GDPR) va schimba modul în care comercianții și agenții de publicitate operează în Uniunea Europeană. Indiferent de locația sa centrală, fiecare afacere care colectează date personale și construiește profiluri ale rezidenților europeni trebuie să schimbe modul în care procură și gestionează datele clienților. Pentru multe dintre aceste organizații, va fi o schimbare dramatică. Firmele și departamentele de marketing trebuie să înceapă prin concentrarea resurselor pentru a răspunde la schimbările pe care le va aduce GDPR. Nu este vorba de posibili-
18
Catalog GDPR Ready
tatea de a funcționa în continuare sub GDPR - cu siguranță că pot. În schimb, ei ar trebui să se gândească înainte la modul în care funcționează Pe linia eforturilor de aliniere la conformitatea GDPR, o companie trebuie sa adopte un set de măsuri procedurale, tehnologice și organizaționale pentru a se asigura că practicile de procurare a datelor și de manipulare sunt în conformitate cu GDPR. Aceste măsuri trebuie să includă: Identificarea datelor care se încadrează în GDPR. Companiile trebuie să clasifice
1
datele într-o manieră dinamică și să determine dacă datele individuale sau multiple
le permit să identifice direct sau indirect pe cineva. În cazul în care răspunsul este da, sunt date personale și intră în domeniul de aplicare al regulilor. Analiza temeiului juridic pentru colectarea și prelucrarea datelor cu caracter
2
personal. Ce fel de date colectează companiile, cum pot să le folosească depinde
foarte mult de temeiul legal în vigoare. Organizațiile pot colecta și procesa date utilizând un anumit număr de temeiuri juridice, inclusiv consimțământul clientului și interesul legitim. Comercianții ar trebui să folosească un interes legitim ori de câte ori este posibil, dar oricare ar alege să utilizeze, amintiți-vă că GDPR cere firmelor să documenteze și să furnizeze dovezi ale temeiului lor juridic. Asocierea scopului unei inițiative cu cantitatea de date necesare. Limitarea
3
scopului și minimizarea datelor trebuie să devină noile principii directoare și în
marketing. Este esențial să se determine scopul unei inițiative înainte de a se angaja în colectarea și prelucrarea datelor. Și cantitatea de date pe care o companie o procesează trebuie să fie minimul necesar pentru a atinge acel scop specific. Stabilirea unor mecanisme stricte pentru reducerea riscurilor terților. GDPR
4
face ca riscul terților să fie mai mare decât oricând. De exemplu, dacă o companie
cumpără baze de date pentru a-și difuza conținutul personalizat, trebuie să se asigure că furnizorul de date a folosit consimțământul clientului pentru colectarea datelor și că acestuia (clientului) i-au fost furnizate toate informațiile relevante. Cu alte cuvinte, dacă un partener subminează conformitatea, toate părțile din acest lanț valoric sunt expuse riscului de a nu respecta obligațiile de conformitate. Se recomandă utilizarea unor mecanisme periodice care să permită evaluarea în permanență a practicilor de confidențialitate ale partenerilor. Folosiți date anonime pentru a reduce riscurile de confidențialitate. Când vine
5
vorba de anonimat, există încă o serie de întrebări fără răspuns. Cu toate acestea, nu
există nicio îndoială că anonimizarea ajută la atenuarea riscurilor de confidențialitate. Întreprinzătorii trebuie să găsească modalități de a obține o valoare maximă din datele anonime, cum ar fi generarea de informații din datele publicului anonim, producerea de segmentări avansate și activarea acestor segmente printr-o serie de canale de publicitate și de marketing. Astfel, ei vor continua să desfășoare activitățile pe care le desfășoară astăzi, pe baza premiselor că nu utilizează date cu caracter personal.
19
Catalog GDPR Ready
20
Catalog GDPR Ready
21
Catalog GDPR Ready
6
Distingeți între profilarea clienților și luarea deciziilor automate. Acestea două ar putea fi același lucru în unele cazuri, dar nu este întotdeauna cazul. Al doilea,
de obicei, nu implică nici o interacțiune umană, iar rezultatul inițiativei conduce o organizație în a lua o acțiune care are un impact asupra situației economice juridice, de exemplu, a persoanei. Dacă activitățile de profilare ale unei companii intră în această categorie, va trebui să se bazeze pe consimțământul explicit al clientului. Dacă nu, interesul legitim ar putea fi calea de urmat. Bazați-vă pe consimțământ și fiţi transparenţi pentru clienții care renunță.
7
Inițiativele, cum ar fi recunoașterea transversală a consimțământului, trebuie să
fie construite cu consimțământul clientului. Întreprinderile de marketing ar trebui să se gândească nu numai la această cerință de conformitate, ci și ca principiu călăuzitor pentru abordarea clienților. Studiul realizat de Forrester arată că unii clienți apreciază cu adevărat publicitatea extrem de personalizată, dar vor să dețină ei controlul. Activitățile de marketing trebuie să precizeze clar și pur și simplu datele pe care le vor colecta, de ce și cu cine intenționează să le împărtășească. Să nu uităm că GDPR ARE ÎN VEDERE NU NUMAI PROTECȚIA ADECVATĂ A DATELOR PERSONALE, DAR ȘI LIBERA CIRCULAȚIE A ACESTORA. GDPR nu este un efort unic - este o strategie pe termen lung. Pentru a satisface și
8
a susține respectarea GDPR, firmele trebuie să-și integreze principiile în activitățile
lor de zi cu zi. În consecință, în timp, ne așteptăm ca cei care comercializează să prefere calitatea datelor în raport cu cantitatea, să devină mai selectivi cu privire la furnizorii și partenerii lor de date și să utilizeze mai puțin datele terților - dar mai sigure și mai profitabile. Dar Marketingul nu presupune numai obținerea unei confirmări. Așteptările clienților privind confidențialitatea sunt în creștere, iar un număr din ce în ce mai mare dintre aceștia decid cu cine să lucreze și cum, de asemenea, pe baza tuturor considerentelor de confidențialitate. Pentru a se alinia la GDPR, agenții de marketing de pretutindeni trebuie să aibă în vedere că practicile eficiente de confidențialitate fac clienți mai fericiți și, în cele din urmă, acest lucru este important.
16 CUM SĂ VALORIFICĂM ÎN MARKETING OPORTUNITATEA GDPR PENTRU AFACERI Relații Publice - În ceea ce privește creșterea gradului de conștientizare a reglementărilor, organizațiile inteligente vor considera acest lucru drept o șansă de proactivitate. Cu o înțelegere a datelor pe care le dețin, aceștia se pot adresa clienților înainte de termenul limită pentru a-și asigura precizia și a explica de ce păstrarea datelor de contact va fi benefică. Ajutarea clienților în înțelegerea acestor principii este vitală pentru a transforma această reglementare dintr-o povară administrativă oneroasă într-o oportunitate de a spori satisfacția clienților printr-un mesaj pozitiv și proactiv privind confidențialitatea și utilizarea datelor.
22
Catalog GDPR Ready
Aceasta ar trebui să aibă ca rezultat o imagine corporativă mai pozitivă, axată pe onestitate și integritate. Cu mult noroc, mult mai puține solicitări individuale pentru a elimina datele personale ar trebui să vină de la clienții care au fost abordați în mod proactiv. Marketing și Serviciul Clienți - Atât timp cât datele trebuie să fie ușor accesibile pentru a face față în mod eficient unei cereri de ștergere a informațiilor, beneficiile unui depozit centralizat de date se extind către zona de comercializare. Dacă datele sunt de-duplicate și curățate, marketingul poate folosi aceste informații pentru inițiativele de marketing și campaniile de ieșire. Un exemplu evident în acest sens îl reprezintă numărul de clienți care sunt contactați de mai multe ori de către o organizație care nu realizează că „Ion Popescu” și „I Popescu” sunt aceeași persoană, trimițând mai multe solicitări aceleiași persoane - creșterea costurilor și scăderea bunei impresii a clientului. În plus, abilitatea de a identifica în mod pozitiv clienții într-o singură vizualizare va aduce beneficii atunci când ajung la un call center sau agent de servicii pentru clienți, va interacționa între canale (de exemplu într-un magazin într-o zi și online în următorul) sau va declanșa returnări sau schimburi. Eficiența operațională - Pe măsură ce firma construiește o strategie de date ușor accesibilă, asigurarea faptului că este relevantă și actualizată este cheia pentru respectarea GDPR. Din fericire, aceste eforturi pot oferi multe efecte operaționale pozitive. Va exista mai multă certitudine în ceea ce privește compoziția demografică și geografică a clienților. În acest fel, întrebări precum: «Unde ar trebui să desfășurăm personal și resurse?», «Ce abilități sunt necesare?» sau «Ce fel de produse ar trebui să avem gata în anumite magazine sau depozite?» ... ar trebui să fie mai ușor de răspuns. Strategie – Luarea de măsuri pentru a aborda GDPR va duce la o calitate mai bună a datelor, va permite, de asemenea, mai bine descoperirea de modele de încredere în rândul clienților. Organizațiile inteligente vor folosi această șansă pentru a adăuga analize pentru a-și îmbunătăți strategiile. Modelele de analiză și tendințele de înaltă calitate privind datele clienților fac ca analizele de afaceri să devină mai valoroase. În același timp, datele fiabile pot fi mai ușor de îmbogățit cu informațiile furnizate de terți, cum ar fi prognoza economică regională, geocodarea adreselor și informațiile demografice. Folosind oportunitate de a face curățenie în bazele de date ale clienților, venind cu date mult mai exacte și mai îmbogățite vom beneficia în mod sigur de noi modalități de a lua decizii de afaceri mai bune și mai profitabile. Analiza predictivă, Inteligența artificială (AI) și alte tehnici moderne pot fi adăugate pentru a avansa afacerea. Upsell și Cross-sell - În ciuda titlurilor din ziare care descriu modalități de solicitare a ștergerii datelor, GDPR nu înseamnă că persoanele vor cere imediat ștergerea tuturor datelor. Mulți ar putea să fie mulțumiți să permită organizațiilor de încredere să păstreze date pertinente care le-au colectat pe parcursul interacțiunilor lor de afaceri. Îmbunătățirea calității datelor înseamnă că organizațiile își pot identifica mai bine clienții și pot înțelege cât de mult pot face afaceri cu ei. În plus, față de oferirea unui
23
Catalog GDPR Ready
serviciu de relații cu clienții mai bun, prin capacitatea de a identifica clienții loiali sau pe cei care au solicitări frecvente de garanție, afacerea poate găsi oportunități de a prezenta un produs la momentul potrivit printr-o mai bună înțelegere a obiceiurilor clienților. Înțelegerea a ceea ce produse înrudite ar completa experiența consumatorilor deschide oportunități de upsell și cross-sell.
17 CE PRESUPUNE PRELUCRAREA DATELOR PERSONALE ÎN SCOP DE MARKETING DIRECT? O zonă gri în cadrul regulamentului pare a fi tot ceea ce decurge mai departe din afirmația următoare: „prelucrarea datelor cu caracter personal în scopuri de marketing direct poate fi efectuată pentru un interes legitim”. Dar interpretarea „interesului legitim” pare să fi provocat confuzii și multe organizații par să creadă că acesta este o carte albă pentru a continua să utilizeze informațiile de contact existente, în special pentru activitatea de marketing prin e-mail. De fapt, regulamentul privind confidențialitatea în mediul electronic (așteptat la aceeași dată cu GDPR) permite continuarea procesării pentru comercializare prin mijloace electronice, cum ar fi SMS-urile, email-urile, etc., atunci când prelucrarea este o continuare a unei funcții existente și legată de un serviciu care a obținut deja consimțământul și unde opțiunea de excludere a fost furnizată anterior. Clarificări complete pot fi găsite online... Deși cerințele de a-și îndeplini angajamentele contractuale față de o terță parte ar putea genera un interes legitim, nu se cunoaște nicio definiție juridică care limitează „interesele legitime” la exercitarea sau gestionarea contractelor și a obligațiilor contractuale. Dacă o astfel de obligație contractuală trebuia să genereze interese legitime, acestea ar trebui totuși să fie echilibrate în raport cu interesele individului implicat. Desigur, în cazul în care obligația contractuală se află între administratorul de date și persoana vizată, acest lucru ar fi acoperit de temeiul legal al art. 6.1 (b) - adică necesare pentru executarea unui contract - și nu ca interese legitime. Regulamentul privind confidențialitatea în mediul electronic ePR (și predecesorul său, în prezent în vigoare - ePrivacy) prevăd norme specifice privind utilizarea mijloacelor electronice pentru marketingul direct, însă nu determină când se pot prelucra datele cu caracter personal. Acestea sunt acoperite de legislația existentă privind protecția datelor, care a fost înlocuită cu GDPR în luna mai. Prin urmare, prelucrarea unei adrese de e-mail personale va trebui totuși să satisfacă o bază legală conform art. 6.1 din GDPR (împreună cu toate celelalte obligații din GDPR). Cu toate acestea, după cum spuneam, regulamentul privind confidențialitatea în mediul electronic permite continuarea trimiterii de e-mail pe baza consimțământului (conform specificațiilor GDPR) sau a unui client existent (desigur, fără opțiune). Dacă prelucrarea este o continuare a unei funcții existente și este legată de un serviciu care a obținut deja consimțământul și în cazul în care opțiunea de excludere a fost furnizată anterior, acest consimțământ nu mai e necesar.
24
Catalog GDPR Ready
18 CE TREBUIE SĂ FACEM PENTRU CLARIFICAREA ACTIVITĂȚILOPR DE MARKETING? Iată o serie de recomandări pentru activități asociate proceselor de marketing: Pasul 1 - Actualizați termenii și condițiile site-ului dvs., politica de cookie-uri și politica de confidențialitate - Primul pas pentru aproape toate organizațiile care doresc să se alinieze la GDPR este să actualizeze termenii și condițiile site-ului și politica de confidențialitate. Termenii și condițiile site-ului, politica privind cookie-urile și politica de confidențialitate reprezintă cea mai ușoară modalitate de a comunica informațiile cheie către persoanele vizate care își împărtășesc datele personale cu dvs. Ce trebuie să includem în noile pagini publice cu referire la GDPR: Scopul și baza legală pentru prelucrarea datelor, inclusiv toate interesele legitime urmărite de către operator. Sursa de proveniență a datelor personale. Detalii despre destinatari, categorii sau destinatari ai datelor Toate țările cărora le sunt transferate datele și care sunt măsurile de protecție disponibile. Acestea sunt cunoscute ca mecanisme de transfer aprobate. Perioada pentru care vor fi stocate datele sau criteriile care vor fi folosite pentru a determina durata de stocare a datelor (politica de retenție). Existența drepturilor persoanelor vizate. Confirmarea existenței dreptului unui individ de a solicita accesul la datele cu caracter personal și rectificarea sau ștergerea acestora, precum și dreptul de a restricționa sau obiecta la prelucrarea persoanei vizate și dreptul la portabilitatea datelor. Existența dreptului de retragere a consimțământului acordat anterior. Identitatea și datele de contact ale operatorului (și, dacă este cazul, reprezentantul acestuia). Detaliile de contact ale responsabilului cu protecția datelor (dacă este cazul). Detalii privind dreptul de a adresa plângeri Autorității pentru Protecția Datelor. Dacă furnizarea de date este o cerință legală sau contractuală sau o cerință necesară pentru a încheia un contract, inclusiv dacă persoana vizată este obligată să furnizeze datele cu caracter personal și posibilele consecințe ale neîndeplinirii datelor. Detalii despre locul în care se ia ca temei legal condiția de interes legitim. Existența oricărei decizii automate, inclusiv a profilului. Oferiți informații despre logica implicată, precum și despre semnificația și consecințele unei astfel de procesări. Informații suplimentare care sunt necesare în funcție de circumstanțele în care datele sunt sau urmează să fie procesate. Pasul 2 - Actualizați formularele de capturare a datelor personale de pe site - Odată ce noile politici sunt gata, designul formularelor de capturare a datelor este următoarea piesă a puzzle-ului. Ca elemente cheie, noile formulare trebuie să includă:
25
Catalog GDPR Ready explicație clară pentru ceea ce utilizatorul semnează casetă de selectare (care nu este bifată în prealabil) și care trebuie verificată de către utilizator înainte ca formularul să poată fi trimis. Iată un exemplu despre cum poate arăta această versiune de bază a formularului: „Sunt de acord cu termenii și condițiile și politica de confidențialitate a Companiei dvs.”. Cuvintele „termeni și condiții” și „politica de confidențialitate” sunt legate de paginile de politică relevante de pe site-ul dvs. web. Dacă această casetă de opt-in ar fi bifată în prealabil, sau dacă apăsarea butonului de opt-in e condiționată de bifarea acestei casete, utilizatorul s-ar putea simți constrâns și rata de conversie a formularului respectiv ar fi afectată în mod artificial. De ce să ne asumăm aceste riscuri? Acolo unde putem fi clari, mesajele trebuie sa fie foarte ferme. Mesajul pe care trebuie să îl perceapă persoana care ne încredințează datele este că acestea vor fi în deplină siguranță, indiferent dacă citește sau nu politica noastră de confidențialitate. Pasul 3 – Asigurați credibilitatea socială - Permițând utilizatorului să știe că se alătură unui număr mare de semeni care au ales deja această opțiune, se poate obține o îmbunătățire clară a ratei de conversie a formelor de înregistrare a datelor. Printre exemplele de dovezi sociale care pot îmbunătăți rata de conversie a înregistrărilor se pot număra: Mărturiile clienților Logouri de companii bine cunoscute și pentru care ați lucrat în trecut Studii de caz Revizuirea, evaluarea și feedbackul clienților Numărul de adepți sau acțiuni pe social media Numărul de clienți, utilizatori sau descărcări Statistică și cercetare Recunoașterea de către celebrități sau experți Pasul 4 – Explicitarea clară a beneficiilor – Fiți clari atunci când explicați utilizatorului de ce este bine pentru ei să subscrie la propunerea noastră. Explicând exact care este avantajul predării unor informații personale valoroase, în loc să spuneți «abonați-vă aici» pentru a obliga vizitatorul să facă efortul de a completa formularul e de preferat să folosiți o formulă deschisă, de tipul: „Alăturați-vă altor 500 de utilizatori care au optat pentru aceste beneficii indiscutabile…” Acest lucru ajută, de asemenea, la respectarea regulii GDPR, deoarece explicați în mod clar la ce se înregistrează utilizatorul. Pasul 5 – Limitați stabilirea de Câmpuri obligatorii* - Formularele la care toate câmpurile sunt marcate cu binecunoscutul asterisc (*) pot induce un sentiment de frus-
26
Catalog GDPR Ready
trare, ceea ce atrage o rată scăzută de conversie. Mulți utilizatori se simt afectați de obligativitatea furnizării unor date într-un context în care nu reiese clar de ce ar fi absolut obligatoriu acest lucru. Pasul 6 – Reactualizați baza de date - în cazul bazelor de date existente se pune cu acuitate problema dacă datele personale pe care le-am acumulat de-a lungul anilor mai pot fi folosite sau nu. Prima acțiune care trebuie avută în vedere pentru un astfel de demers este identificarea surselor de proveniență a acestor date. Cum au fost ele obținute? Avem înregistrări clare legate de obținerea acestora? Următoarea întrebare vizează atribuire temeiului legal pentru obținerea și folosirea acestor date. Ne putem încadra într-unul din temeiurile legale uzuale? Cadru legal, Consimțământ, Contract sau Interes legitim. Dacă niciunul dintre modelele de cadru legal nu poate fi asimilat cu claritate, atunci se recomandă obținerea consimțământului. Cum putem crește rata de conversie a acestuia, fără să ne canibalizăm baza de date prin mesaje care nu primesc nici un răspuns și în consecință ne obligă să atribuim adresantului calificativul de fără consimțământ. Asta vom explica puțin mai jos. Pasul 7 - Cum creștem rata de conversie a mesajelor de opt-in? Această curățenie efectuată la nivelul bazei de date e benefică pentru toată lumea. În primul rând nu vă expune în fața unor clienți foarte vechi care chiar nu mai sunt interesați de ceea ce le oferiți. În al doilea rând, folosirea unei baze de date structurate vă poate asigura o rată mai mare de conversie a răspunsurilor și deci a leadurilor care pot fi reconvertite în vânzări. Este destul de greșită părere că trimițând același mesaj pe o bază de date mai mare, ai mai multe șanse de a primi răspunsuri pozitive decât expedierea unor mesaje customizate pe eșantioane mai reduse de adrese e-mail. În conformitate cu regulile GDPR puteți aborda clienții B2B fără a avea nevoie de consimțământ numai în următoarele condiții destul de stricte: Adresantul reprezintă o organizație cu care avem relații comerciale și contractuale curente. Subiectul mesajului nu iese din tematica generală de discuții în cadrul relațiilor comerciale. Subiectul este anunțat în mesaj de rolul clar și limitat al acestei acțiuni Acolo unde este posibil, se face trimitere la politica de confidențialitate Existența unui interes legitim foarte clar care justifică demersul dvs și explică adresantului că este vorba numai de avantajarea sa… Oricare ar fi justificarea mesajului transmis, oferiți totuși adresantului posibilitatea de dezabonare de la mesajele de acest tip. Pasul 8 – Cererea permisiunii de re-transmitere pentru persoanele care nu se încadrează în celelalte temeiuri legale – Ținând cont de ceea ce s-a întâmplat cu circa
27
Catalog GDPR Ready
10 zile înainte și după data de 25 mai 2018, putem spune ca asistăm la scrierea istoriei. Sfătuite de oameni care au pus întotdeauna pe primul loc amploarea amenzilor, multe companii s-au grăbit să trimită scrisorile de reconfirmare a interesului pe toate listele din bazele lor de date. O greșeală care va fi destul de greu de recuperat. Nu imposibil, dar foarte greu, deoarece conform GDPR toți cei care nu vor răspunde mesajelor de opt-in nu vor putea fi luaţi în considerare pe listele de consimțământ confirmat. O lipsă de răspuns e considerată negare în contextul noului Regulament. În afară de asta, conținutul a 80% din mesajele de opt-in este prost formulat, reluând într-un mod total nefericit îndemnul de a consimți primirea mesajelor de direct marketing, fără nicio delimitare și fără nicio granularitate. Cum trebuie făcut acest lucru în așa fel încât să avem o rată de acceptări cât mai mare? În primul rând metoda de adresabilitate a mesajului poate decide tot. Unii preferă să trimită simple scrisori de informare prin care anunță listele de adrese nestructurate de faptul că și-au actualizat politica de confidențialitate, cu sau fără trimitere către o adresă web unde poate fi citită această nouă politică, dar și fără posibilitate de unsubscribe… O altă metodă, mult mai naturală și mai sănătoasă este structurarea bazei de date pe liste de adrese despre care știm cum le-am colectat. În acest caz, în cazul în care primim un mesaj care începe cu următoarea formulă „magică” de adresare, ne e destul de greu să venim cu un refuz sau să reclamăm operatorul pentru hărțuire prin e-mail… Care e „fraza magică”? E simplu ca buna ziua. Acel bună ziua pe care îl dai când intri într-o casă sau când te întâlnești cu cineva: „Primiți acest mesaj în virtutea faptului că adresa dvs. figurează în baza noastră de date ca urmare a…” și aici se poate aminti o interacțiune sau un șir de posibile interacțiuni care justifică în mod amiabil luarea în considerare a adresei. Articolele 13 și 14 din GDPR definesc destul de clar care sunt punctele esențiale ce trebuie incluse în astfel de mesaje în cazul persoanelor vizate a căror adresă am obținut-o direct sau a celora care ne-au parvenit din alte părți, pe căi care nu pot fi considerate ilegale. O altă metodă mult mai eficientă este sugerarea vizitării unei pagini web cu rol de landing-page, în care vizitatorul are posibilitatea de a completa în mod granular mai multe câmpuri de opțiuni, prinre care și indicarea formei preferate de contactare: telefon, e-mail, adresa poștală, sau niciuna dintre acestea.
19 CUM REVIZUIM POLITICA DE CONFIDENȚIALITATE? Datele personale pot fi colectate într-o multitudine de moduri: prin telefon, pe hârtie, de la om la om, electronic, prin aplicații, prin dispozitive IoT of Things sau aiurea de pe rețelele sociale. Aparent poate părea destul de dificilă impunerea unor norme prin care o companie își poate convinge subiecții într-o modalitate în care aceștia să înțeleagă faptul că datele lor sunt tratate cu respect.
28
Catalog GDPR Ready
29
Catalog GDPR Ready
Articolele 13 și 14 din GDPR ne explică toate informațiile pe care trebuie să le dăm persoanelor individuale în momentul în care le colectăm informațiile personale sau la scurtă vreme după ce am intrat în posesia acestora într-o manieră indirectă. Pentru a face lumină în aceste lucruri, Grupul de Lucru Articolul 29 (WP29) a publicat în noiembrie 2017 un ghid dedicat politicilor de asigurare a transparenței pe care l-a revizuit acum câteva zile. Schimbări în politica de confidențialitate - Aproape toate organizațiile ce intră sub incidența GDPR vor trebui să-și revizuiască politica de confidențialitate. Dacă au așa ceva… Mai mult de atât, este în interesul tuturor ca această actualizare să fie anunțată tuturor. Prin e-mail, prin poștă, într-un pop-up sau în orice alt fel ar putea ajunge mai direct la persoanele vizate. Conform WP29 schimbările în politica de confidențialitate trebuie să includă o modificare în scopul procesării, sau o schimbare a identității operatorului sau o nouă formă prin care subiectul își poate exercita drepturile în raport cu procesarea. Desigur că o simplă modificare de stil sau o revizie gramaticală nu pot fi considerate o schimbare substanțială de politică. Limba dulce mult aduce - Notificările de confidențialitate trebuie să folosească un limbaj clar și ferm, fără prea multe intruziuni din jargonul tehnic sau arabescuri juridice. Iată câteva exemple de bune practici folosite de ghidul WP29: „Vom păstra istoricul cumpărăturilor dvs. și vom folosi detalii despre produsele pe care le-ați achiziționat deja pentru a vă putea face sugestii pentru alte produse de care credem că ați putea fi interesați.” Ni se arată clar ce feluri de date vor fi procesate și cum vom deveni subiectul unei promovări targetate pentru produse din gama celor preferate. „Vom reține și vom evalua informațiile despre recentele vizite pe site-ul nostru și ce tipuri de informații ați accesat pentru scopuri analitice care ne vor ajuta să înțelegem mai bine modul în care putem face paginile noastre de web mai intuitive.” Este clar aici ce fel de date sunt prelucrate și ce tipuri de analize. Ghidul include o schemă a informațiilor care trebuie furnizate subiectului și o serie de recomandări WP29 de prioritizare a nivelului de detaliu pentru informațiilor ce trebuie transmise. Granularitatea – transparența dusă la extrem - Un serviciu poate implica mai multe operațiuni de procesare pentru mai multe scopuri. În astfel de cazuri, persoanele vizate trebuie să fie libere să aleagă scopul pe care îl acceptă, mai degrabă decât să consimtă la un pachet de scopuri de prelucrare. Într-un caz dat, pot fi justificate mai multe consimțăminte pentru a începe să ofere un serviciu, în conformitate cu GDPR. Considerentul 43 clarifică faptul că se presupune că nu se acordă liber consimțământul în cazul în care procesul / procedura de obținere a consimțământului nu permite persoanelor vizate să dea consimțământ separat pentru operațiunile de prelucrare a datelor cu caracter personal (de exemplu, numai pentru anumite operațiuni de prelucrare și nu pentru altele) adecvate în cazul individual.
30
Catalog GDPR Ready
În considerentul 32 se arată că „Acordul persoanei vizate trebui să acopere toate activitățile de prelucrare efectuate în același scop sau în același scop. Atunci când procesarea are scopuri multiple, ar trebui să se dea acordul tuturor.” În cazul în care operatorul are mai multe scopuri pentru procesare și nu a încercat să solicite consimțământul separat pentru fiecare scop, apare clar o lipsă de transparență. Această granularitate este strâns legată de necesitatea consimțământului de a fi specific. Atunci când prelucrarea datelor se realizează în mai multe scopuri, soluția pentru a îndeplini condițiile pentru consimțământul valabil constă în granularitatea, adică separarea acestor scopuri și obținerea consimțământului pentru fiecare scop. Transparența este unul dintre principiile fundamentale în protecția datelor personale. Fiecare dintre noi are dreptul să înțeleagă cum sunt prelucrate datele noastre personale, cum sunt folosite sau partajate. În acest fel, putem să luăm decizii mult mai informate despre ce putem face cu datele noastre. Prin afișarea clară a transparenței în prelucrarea datelor personale un operator poate câștiga încrederea utilizatorilor și să-și dovedească responsabilitatea.
20 CUM SCĂPĂM DE MITURILE LEGATE DE CONSIMȚÂMÂNTUL ÎN MARKETING? De la agențiile de marketing, la cluburi și asociații, la autorități locale, consimțământul a fost un subiect des dezbătut, prin importanța unei corecte înțelegeri pentru business. Printre miturile des vehiculate se numără: „GDPR înseamnă că nu voi mai putea să-mi trimit buletinul de știri” sau „GDPR spune că va trebui să obțin reînnoirea consimțământului pentru tot ce fac.” Din păcate, dezinformarea este încă ambalată ca adevăr, și dezbătută în media cu oameni care nu au înțeles despre ce e vorba, dar care sunt siguri pe sentințele lor… În fine, formele de mistificare sunt multiple, dar esența dezinformării constă în aserțiunea că ”Trebuie să primim un consimțământ nou de la toți clienții noștri pentru a ne conforma GDPR. Răspunsul clar la acest verdict este că nu este nevoie să actualizați automat toate consimțămintele existente pentru conformarea cu noul regulament. Cum GDPR atribuie o importanță majoră temeiului legal bazat pe consimțământ, este important să verificați procesele de business, fluxurile de date și înregistrările pentru a vă asigura că acordul existent corespunde standardului GDPR. Sunt câteva situații clare în care nu este nevoie să obțineți un consimțământ proaspăt. Una dintre acestea este existența unei relații comerciale și de comunicare curentă cu clienții care au achiziționat bunuri sau servicii de la dvs.. Pentru toți acești clienți, furnizori sau parteneri, nu este necesară obținerea unui consimțământ nou. De asemenea, este important să rețineți că, în unele cazuri, este posibil să nu fie adecvată obținerea unui consimțământ proaspăt dacă nu sunteți sigur că ați colectat în mod direct informațiile de contact. E o situație unde se recomandă o amplă cercetare și o verificare a faptului că persoanele vizate chiar se înscriu în targetul dvs. de audiență
31
Catalog GDPR Ready
pentru ceea ce doriți să comunicați. Cu alte cuvinte, daca nu știu de unde am adresa și nu sunt sigur că îmi este într-adevăr de folos pentru ceea ce mi-am propus cu comunicarea respectivă, e bine să mă gândesc de două ori înainte să trimit mesaj pe adresa respectivă. Am auzit multe mărturii despre mesaje primite prin poștă electronică cu scrisori lungi și inutile prin care adresanții le explicau persoanelor vizate cât de mult trebuie să se bucure că figurează pe lista „celor aleși” și că mesajul de consimțământ nu este decât o „binevenită abonare la ceva ce nimeni nu a mai văzut…” Una dintre greșelile frecvente ale acestor mesaje este lipsa posibilității de dezabonare. Cei care își dau consimțământul trebuie să și-l retragă cu aceeași ușurință. Dacă consimțământul este baza legală adecvată, atunci energia și efortul trebuie consacrate constituirii unui consimțământ informat, activ și lipsit de ambiguitate. Organizațiile riscă neconformitatea în cazul în care e-mailurile lor sunt greu de urmărit și informațiile cheie sunt pierdute la sfârșitul textului lung - oamenii trebuie să înțeleagă în mod clar de ce trebuie să fie de acord. Sfatul nostru este ca înainte de a trimite e-mailuri, să luați foarte serios în considerare care este cel mai eficient mod de a ajunge la clientul dvs. - este posibil ca acest mod să nu fie e-mail. Luați în considerare o abordare a protecției datelor prin proiectare - unde pot fi integrate aceste informații pentru a avea cel mai bun impact. E bine să știm de la bun-început că este posibil să pierdem clienții prin aducerea consimțământului la standardul GDPR. Dar asta va conduce la o bază de date mult mai sănătoasă, cu contacte reale selectate după nivelul de interes în dezvoltarea afacerii. E mult mai eficient ca în loc să trimit un mesaj targetat către 10.000 de adrese, ale unor oameni despre care habar nu am cu ce se ocupă, să selectez 100 de contacte posibil interesate de subiect. O rată de conversie de 5% din 100 de adrese e preferabilă decât 5% din 10.000. Mesajele mai clare, mai targetate și mai eficiente înseamnă un angajament mai bun în relațiile cu clienții și utilizarea unor instrumente de construire a încrederii acestora. Dar nu trebuie să uităm faptul că un consimțământul nu este «glonțul de argint» pentru buna aliniere la GDPR. Este o modalitate de a ne conforma GDPR, dar nu este singura cale. Îngrijorarea cu privire la consimțământ persistă, și asta e bine, dar de cele mai multe ori lipsesc contextul sau înțelegerea cu privire la celelalte baze legale pe care organizațiile le-ar putea folosi pentru a procesa informațiile personale în cadrul GDPR. Pentru ca procesarea să fie legală în cadrul GDPR, trebuie să identificați o bază legală înainte de a începe. Există șase baze legale disponibile pentru alegerea dvs. Nici o bază unică nu este „mai bună” sau mai importantă decât celelalte care este cea mai potrivită va depinde de scopul și relația dvs. cu individul. Dvs. cunoașteți cel mai bine organizația și scopurile pentru care prelucrați date cu caracter personal.
32
Catalog GDPR Ready
21 CARE ESTE IMPACTUL GDPR ASUPRA FURNIZORILOR DE SERVICII DATACENTER? De la bun început, noile prevederi ale Regulamentului EU 2016/267 au mărit gradul de expunere al tuturor procesatorilor de date personale, punând însă o presiune mai mare pe câteva categorii mai speciale de operatori. Furnizorii de soluții și servicii Data Center (DCSP) se numără printre operatorii de date care trebuie să acorde o atenție specială îndeplinirii condițiilor de conformitate. Indiferent ca e vorba de servicii de găzduire, hosting, Cloud privat sau Hibrid, furnizorii de servicii Data Center au aceleași probleme cu GDPR. Una dintre probleme este securitatea datelor, considerate mult timp un adevărat punct vulnerabil în special pentru furnizorii de infrastructură Cloud. Încrederea utilizatorilor în garanțiile de Securitate oferite de găzduirea datelor în Cloud a controlat multă vreme accelerarea ratei de adopție a serviciilor Cloud la nivel enterprise. Orice DCSP are atât răspunderi de procesator cât și de operator - pentru fluxurile de date în care joacă rolul de procesator fiind acum expus răspunderii juridice a GDPR la fel ca operatorii de date. Furnizorii trebuie să asigure respectarea propriilor standarde GDPR - în calitate de operatori de date personale pentru angajați sau clienții individuali care contractează servicii Data Center individuale, precum căsuțe de e-mail, domenii Web sau spații de stocare personale. Creșterea nivelului de transparență – deoarece atât operatorii de date, cât și procesatorii trebuie să devină tot mai diligenți în privința suveranității, securității, minimizării sau stocării datelor, precum și a limitării controlului și distrugerii datelor pentru care au responsabilitatea. Soluții as-a-Service conforme GDPR pentru clienți – serviciile furnizate către un client îi pot asigura acestuia conformitatea GDPR. Tot mai multe aplicații de stocare, backup și disaster recovery sunt oferite ca aplicații SaaS găzduite de către DCSP sau chiar dezvoltate de aceștia. Sfaturi practice pentru furnizorii de servicii Data Center: Maparea atentă a fluxurilor de date – identificarea corectă a rolului de operator sau procesator pe care un DCSP îl joacă în diferitele relații de business cu furnizorii, partenerii și clienții. Revizuirea relațiilor contractuale cu operatorii de date - Operatorii sunt cei care trebuie să ofere instrucțiuni specifice procesatorilor, documentate în așa-numitele „Acorduri de prelucrare a datelor”. Articolul 28 din GDPR menționează în mod specific acordurile de prelucrare a datelor și arată în detaliu ce ar trebui să includă ca instrucțiuni pentru furnizorii DCSP în calitate de procesatori. Atenție specială subcontractorilor - furnizorii de servicii Data Center apelează adesea la proprii lor subcontractori, care devin sub-procesatori pentru operatori. Orice furnizor de servicii DC trebuie să ceară permisiunea operatorului de a utiliza subprocesatori,
33
Catalog GDPR Ready
ceea ce ar trebui să se regăsească și în acordul de procesare a datelor. Utilizarea de subprocesatori poate fi acoperită printr-o permisiune generică sau o permisiune specifică pentru fiecare subprocesator. Înregistrarea activităților de prelucrare – în calitate de operator, fiecare DCSP trebuie să mențină o evidență a activităților de procesare: un instrument de evidență care detaliază diferitele activități de prelucrare a datelor cu caracter personal din cadrul organizației (HR, vânzări directe, service). O versiune mai puțin riguroasă a acestei evidențe trebuie să fie menținută pentru fluxurile de date în care DCSP acționează ca procesator, dar care totuși trebuie să includă toate activitățile de procesare derulate pentru clienții săi. Transferurile de date în afara UE - atunci când datele cu caracter personal ale clienților din UE sunt transferate de către un procesator în țări din afara Uniunii este important ca datele să beneficieze de aceleași sisteme de protecție și garanții ca și în interiorul UE. Pentru a facilita astfel de transferuri, GDPR include mai multe mecanisme printre care se numără: Deciziile de adecvare - atunci când UE a stabilit că o țară din afara UE (sau un acord specific cu o astfel de țară, de ex. Privacy Shield cu SUA) oferă o protecție adecvată; Regulile corporative obligatorii (Binding Corporate Rules) – garanții de protecție oferite de companii multinaționale care au subsidiare în țări din afara UE, validate de autoritățile de protecție a datelor; Clauze contractuale standard (Standard Contratual Clauses) - contracte predefinite, validate de Comisia Europeană, ce conțin toate garanțiile de protecție necesare pentru transferurile în afara UE. Securitatea informațiilor - asigurarea informațiilor împotriva accesului neautorizat, pierderii sau distrugerii este o cerință esențială a GDPR, care poate fi asigurată prin menținerea confidențialității, integrității și disponibilității (CIA). Orice încălcare a principiilor CIA poate atrage o notificare către operator, care, la rândul său, va trebui să notifice autoritatea de supraveghere și persoanele vizate, dacă riscurile potențiale ale unei breșe sunt destul de ridicate.
22 CE OPORTUNITĂȚI DESCHIDE GDPR ÎN DISTRIBUȚIA IT? Alinierea la GDPR vine cu multe teme de îngrijorare pentru companiile dintr-un ecosistem de distribuție, dar și cu un imens potențial de vânzare a soluțiilor din portofoliu. Noul Regulament european privitor la protecția datelor poate avea un efect de bumerang. A apărut din nevoia de aliniere a drepturilor cetățeanului european la evoluția tehnologică a mijloacelor de recoltare, comunicare, procesare și stocare a datelor personale. Deși cauza poate fi privită ca tehnologică prin excelență, punerea în aplicare a GDPR este un proces esențialmente de business, care prin implicații poate fi asimilat cu un
34
Catalog GDPR Ready
mare pas înainte în procesul ireversibil de transformare digitală. Poate avea tandemul business-tehnologie un rol de perpetuum mobile? Cu siguranță, atâta timp cât în centrul oricărei politici de dezvoltare stă individul și drepturile sale fundamentale. Nu vă pierdeți cu firea. Totul trebuie privit cu optimism. Pentru o companie IT orice procedură și demers de obținere a unui nivel de confort echivalent cu conformitatea noului Regulament nu ar trebi să fie o problemă. La urma urmelor, implementarea GDPR este un proces de project management, similar cu procedurile de obținere a conformității cu diferite standarde. Avantajul imens oferit de aderarea la GDPR reprezintă o uriașa oportunitate pentru companiile din IT. Demonstrați clienților că sunteți GDPR Ready și veți câștiga în fața concurenței. Ajutați clienții să își rezolve gap-urile tehnologice recomandându-le soluțiile voastre. GDPR vă facilitează accesul la o imensă piață. Deveniți partenerii clienților voștri și veți avea șansa să vă promovați soluțiile din portofoliu. Tipologia ecosistemului ce caracterizează o rețea de distribuție e foarte complexă: distribuitori, wholeselleri, reselleri, VAR-i, integratori de sistem, firme de servicii și consultanță, retaileri, showroom-uri, magazine online, precum și o complicată subrețea de furnizori de servicii de logistică, depozite, curierat, transporturi, case de credite și de asigurări, și altele. Și nu în cele din urmă, clienții. Să luăm de exemplu un distribuitor de dimensiuni medii, care are contracte teritoriale de distribuție pentru 15-20 de branduri, cu proveniență din diferite zone ale lumii. Într-un proces clasic de distribuție rolul unui astfel de distribuitor este cel de procesator – sau intermediar, verigă într-un flux de date care vine dinspre cei care lucrează direct cu utilizatorul final, și merge către un vendor, care în majoritatea cazurilor are și rolul de operator de date. Colectarea datelor personale este paralelă cu procesul de vânzare, multe dintre soluțiile distribuite având asociată obligativitatea furnizării de date despre utilizatorul final, fie elemente de identificare asociate cu licențele software perpetue, fie identificatori de logare - în cazul soluțiilor Cloud, fie date asociate documentelor de garanție și mentenanță specifice echipamentelor hardware. Din punctul de vedere al atribuțiilor GDPR, un distribuitor este în marea majoritate a cazurilor procesator de date, cu subordonare de business în relație cu vendorii, care au rolul de operatori. Păstrând această perspectivă, un reseller va avea întotdeauna o poziție de sub-procesator față de fiecare dintre distribuitorii cu care lucrează. De multe ori vendorii nu sunt nici ei beneficiari direcți ai datelor personale, având tot o poziționare de procesator în relațiile de distribuție cu alte entități. Pe de altă parte, apare des situația în care un distribuitor sau un reseller poate fi chiar el operator de date. Să ne gândim doar la departamentele de resurse umane care gestionează relațiile cu angajații sau la cele de marketing, unde sunt generate campanii direct către clienții finali sau către rețelele de parteneri.
35
Catalog GDPR Ready
5 oportunități oferite de GDPR pentru canalele de distribuție Iată câteva idei care ar trebui să stea la baza unei strategii de ofertare a celor mai adecvate soluții de aliniere la conformitatea GDPR: Piața - un sondaj recent arată că 69% dintre companiile europene nu numai că vor investi în tehnologii de securitate ca rezultat al GDPR, ci și în domenii precum partajarea, stocarea, arhivarea sau recuperarea datelor. Estimările IDC indică o oportunitate de piață de 3,5 miliarde de dolari pentru furnizorii de securitate și stocare și pentru partenerii lor. Tehnologia – GDPR nu prescrie tehnologii de protecție a datelor – precum un anumit algoritm de criptare, de exemplu - și, prin urmare, nu le exclude automat pe altele. În schimb, se fac recomandări și se prescriu procese, ceea ce oferă mai multă libertate de a alege dintr-o paletă de soluții provenite de la o varietate de furnizori. Depozite comune de date – nevoia de operativitate și eliminarea duplicatelor ridică oportunitatea consolidării unor depozite comune, unice de date, la care să aibă acces pe bază de protocoale securizate toți jucătorii din sistem, inclusiv posesorii datelor personale. Marketing și PR – devine vitală pentru creșterea gradului de conștientizare a reglementărilor. Resellerii proactivi se pot adresa clienților înainte de termenul limită, prezentându-le riscurile și promovându-și propria compatibilitate. Încrederea – demonstrați-vă vitalitatea GDPR și veți câștiga în primul rând încrederea clienților. Ajutați-i să înțeleagă că orice investiție în tehnologie nu îi va ajuta doar la reducerea riscului, dar și să își asigure continuitatea în business. Intrarea în vigoare a noului Regulament european poate fi o mare oportunitate pentru companiile din IT. Demonstrați clienților că sunteți GDPR Ready și veți câștiga în fața concurenței. Ajutați clienții să își rezolve handicapurile operaționale și tehnologice recomandându-le soluțiile voastre. GDPR vă facilitează accesul la o imensă piață. Deveniți partenerii clienților voștri și veți avea șansa să vă promovați soluțiile din portofoliu.
23 CUM ASIGURĂM SUPRAVEGHEREA VIDEO SUB GDPR? Supravegherea video poate include orice, de la sisteme de televiziune cu circuit închis sau sisteme automate de recunoaștere a plăcilor numerice, la orice alt sistem de înregistrare, stocare, recepționare sau vizualizare a imaginilor vizuale în scopuri de supraveghere. Se estimează că au existat aproximativ 500 de milioane de camere de supraveghere video instalate în întreaga lume în 2017. Videoclipul de supraveghere video conține adesea imagini ale oamenilor. Pot fi considerate imaginile video ca date personale? Da. Pot fi folosite pentru identificarea directă sau indirectă a persoanelor. Sistemele video de supraveghere bine concepute și selectiv utilizate sunt instrumente puternice pentru abordarea problemelor legate de securitatea datelor. Sistemele utilizate greșit generează un fals sentiment de securitate, ne confruntă cu viața privată individuală, încălcând drepturile fundamentale.
36
Catalog GDPR Ready
Care sunt aspectele esențiale ale protecției datelor cu caracter personal? Calitatea datelor - camerele de luat vederi pot și ar trebui să fie utilizate inteligent și ar trebui să vizeze numai problemele de securitate identificate în mod specific, reducând astfel la minimum colectarea imaginilor irelevante (minimizarea datelor). Acest lucru nu numai că reduce intimidările în viața privată, ci ajută la asigurarea unei supravegheri video mai bine orientate și, în cele din urmă, mai eficiente. Dreptul la informare - În clădirile care informează personalul și vizitatorii cu privire la camerele de supraveghere existente pot fi găsite anunțuri. Aceste semne sunt obligatorii deoarece persoanele afectate de supravegherea video trebuie să fie informate, la instalarea lor, cu privire la monitorizare, scopul său și durata de timp pentru care trebuie păstrate imaginile și de către cine. Perioada de păstrare - Deși instalarea camerelor video ar putea fi justificată din motive de securitate, ștergerea în timp util și automată a imaginilor este esențială. Cadrul legal Sistemul juridic din România a adoptat relativ decent primele recomandări legate de utilizare sistematică a unor sisteme de supraveghere video. Prima reglementare oficială a venit prin Decizia 52 din 2012 a ANSPDCP. Conform Art. 1 din această Decizie: „Colectarea, înregistrarea, stocarea, utilizarea, transmiterea, dezvăluirea sau orice alte operațiuni de prelucrare a imaginilor prin mijloace de supraveghere video, care permit identificarea directă sau indirectă a persoanelor fizice, reprezintă operațiuni de prelucrare a datelor cu caracter personal ce intră sub incidența prevederilor Legii nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, cu modificările și completările ulterioare.” Legislația ulterioară care a pregătit aplicabilitatea noilor condiții pentru Regulamentul EU 679-2016 a preluat esențialul stabilit ca obligatoriu de această Decizie, care a devenit efectiv operabil din data de 25 mai 2018. Imaginile referitoare la persoane identificate sau identificabile, prelucrate prin mijloace de supraveghere video, pot constitui date cu caracter personal chiar dacă nu sunt asociate cu datele de identitate ale persoanei sau chiar dacă nu conțin imaginea persoanei filmate, ci alte informații de natură să conducă la identificarea acesteia (de exemplu: numărul de înmatriculare al vehiculului). Conform Art.4 din Decizia 52/ 2012 ANSPDCP, supravegherea video poate fi efectuată, în principal, în următoarele scopuri: a) prevenirea și combaterea săvârșirii infracțiunilor; b) supravegherea traficului rutier și constatarea încălcării regulilor de circulație rutieră; c) asigurarea pazei și protecției persoanelor, bunurilor și valorilor, a imobilelor și a instalațiilor de utilitate publică, precum și a împrejmuirilor afectate acestora; d) îndeplinirea unor măsuri de interes public sau exercitarea prerogativelor de autoritate publică;
37
Catalog GDPR Ready
e) realizarea unor interese legitime, cu condiția să nu se prejudicieze drepturile și libertățile fundamentale sau interesul persoanelor vizate. Iar Art. 5 vine să completeze: Supravegherea video poate fi efectuată în locuri și spații deschise sau destinate publicului, inclusiv pe căile publice de acces de pe domeniul public sau privat, în condițiile prevăzute de lege. Camerele de supraveghere video se montează în locuri vizibile. Este interzisă utilizarea mijloacelor de supraveghere video ascunse, cu excepția situațiilor prevăzute de lege. Este interzisă prelucrarea datelor cu caracter personal prin mijloace de supraveghere video în spații în care se impune asigurarea intimității persoanelor, cum ar fi: cabine de probă, vestiare, cabine de duș, toalete și alte locații similare. Cu privire la condițiile de utilizare indoor a sistemelor de supraveghere, Art. 8 precizează: (1) Prelucrarea datelor cu caracter personal ale angajaților prin mijloace de supraveghere video este permisă pentru îndeplinirea unor obligații legale exprese sau în temeiul unui interes legitim, cu respectarea drepturilor persoanelor angajate, în special a informării prealabile a acestora. (2) în situația în care nu sunt aplicabile prevederile alin. (1), prelucrarea datelor cu caracter personal ale angajaților prin mijloace de supraveghere video nu se poate efectua decât pe baza consimțământului expres și liber exprimat al acestora, cu respectarea drepturilor persoanelor angajate, în special a informării prealabile a acestora. (3) Nu este permisă prelucrarea datelor cu caracter personal ale angajaților prin mijloace de supraveghere video în interiorul birourilor unde aceștia își desfășoară activitatea la locul de muncă, cu excepția situațiilor prevăzute expres de lege sau a avizului Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal. Art. 12 (1) Persoanele vizate beneficiază de dreptul de informare, dreptul de acces la date, dreptul de intervenție asupra datelor, dreptul de opoziție, dreptul de a nu fi supus unei decizii individuale și dreptul de a se adresa justiției, care se exercită în conformitate cu prevederile Legii nr. 677/2001, cu modificările și completările ulterioare. Ce este nou în GDPR - GDPR introduce unele noi obligații, cum ar fi păstrarea înregistrărilor activităților pe o perioadă de minim 30 de zile. Totodată: Dispare obligația de notificare a Agenției Naționale de Supraveghere Obligația administratorului de date de a furniza mai multe informații despre metoda de prelucrare a datelor Obligația operatorului de a ține o evidență scrisă a operațiunii Obligația operatorului de a raporta scurgeri de date cu caracter personal (sau încălcarea securității) la Oficiul pentru Protecția Datelor cu Caracter Personal
38
Catalog GDPR Ready
39
Catalog GDPR Ready Obligația de a elabora o evaluare a impactului protecției datelor (DPIA) în ceea ce privește „monitorizarea sistematică extinsă a spațiilor accesibile publicului” Obligația de a desemna un ofițer de protecție a datelor (se aplică entităților publice sau specialiștilor pentru prelucrarea datelor cu caracter personal) Ce prevederi rămân aceleași ca în Decizia 52? Dacă supravegherea video este proporțională, consimțământul nu este necesar, chiar și pentru angajați Operarea și înregistrările stocate sau datele personale trebuie protejate în mod adecvat împotriva accesului neautorizat Impactul GDPR asupra CCTV și Supravegherea la locul de muncă - Există multe motive de legitimitate pentru care angajatorii monitorizează angajații prin sisteme de supraveghere video. Bazele legale ale monitorizării includ menținerea siguranței și securității angajaților prin prevenirea criminalității, prevenirea abaterilor angajaților, asigurarea conformității cu procedurile de sănătate și siguranță, monitorizarea și îmbunătățirea productivității, iar în unele cazuri, cum ar fi sectorul serviciilor financiare, respectarea cerințelor de reglementare. Angajatorii se bazează, în general, pe interese legitime ca bază juridică adecvată pentru prelucrarea datelor cu caracter personal - implică răspunderea organizațională și permite utilizarea cu responsabilitate a datelor cu caracter personal, protejând în același timp drepturile de confidențialitate ale datelor angajaților. Angajatorii care se bazează pe interesele legitime ca bază juridică pentru prelucrare trebuie să ia în considerare legitimitatea interesului lor declarat (și, eventual, interesele terților) și trebuie să-și echilibreze interesul față de interesele, drepturile și libertățile angajaților lor. În plus, angajatorii trebuie, de asemenea, să aplice măsuri de siguranță și măsuri de conformitate pentru a se asigura că drepturile salariaților nu sunt prejudiciate în niciun caz dat. Angajatorii ar trebui să ia în considerare noile cerințe GDPR dacă intenționează să instaleze camere CCTV în orice scop. Ar trebui abordate drepturile angajaților, potențialilor clienți și ale altor părți, având în vedere că monitorizarea poate fi efectuată numai dacă există o bază legală pentru aceasta. Angajatorii trebuie să-și amintească faptul că orice date cu caracter personal colectate trebuie să fie utilizate și păstrate numai pentru a-și îndeplini scopul inițial, iar Comunicarea conformă cu GDPR trebuie afișată în mod vizibil.
24 AVEM ISO 27001: CE MAI TREBUIE FĂCUT PENTRU ALINIEREA GDPR? GDPR încurajează utilizarea unor sisteme de certificare pentru a demonstra că organizația gestionează în mod activ securitatea datelor în conformitate cu cele mai bune practici internaționale. Cei care cunosc standardul 27001 pentru securitatea informațiilor
40
Catalog GDPR Ready
spun că acesta se „potrivește mănușă” cerințelor de bază pentru asigurarea securității datelor personale și prelucrării acestora. Unii chiar afirmă că foarte puține dintre controalele prevăzute de ISO 27001 nu își regăsesc echivalentul în cele 99 de articole din GDPR. Cu toate acestea, acest standard nu apare nici măcar o dată menționat în textul GDPR publicat în aprilie 2016, iar cunoscătorii afirmă că implementarea lui nu este suficientă pentru alinierea la GDPR. Haideți să vedem cum ne ajută ISO 27001 și mai ales ce ar mai avea de făcut pentru GDPR organizațiile care au implementat deja acest standard. În GDPR se fac numeroase referințe la importanța sistemelor de certificare pentru atingerea mai rapidă a conformității. În articolul 42, se încurajează „instituirea de mecanisme de certificare în domeniul protecţiei datelor, precum şi de sigilii şi mărci în acest domeniu, care să permită demonstrarea faptului că operaţiunile de prelucrare efectuate de operatori şi de persoanele împuternicite de operatori respectă prezentul regulament.” Ce este ISO 27001? - ISO 27001 este standardul internațional de bune practici pentru securitatea informațiilor și cuprinde cele trei aspecte esențiale ale unui regim comprehensiv de securitate a informațiilor: oameni, procese și tehnologie. Prin această abordare tridimensională la punerea în aplicare a măsurilor de protecție a informațiilor, compania se poate apăra nu numai de riscurile bazate pe tehnologie, ci și de alte amenințări mai frecvente, cum ar fi personalul prost informat sau procedurile ineficiente. Versiunea care a stat la originea actualului standard se numea BS 7799 și a fost publicată în 1995 de Departamentul Comerțului și Industriei (DTI) al Regatului Unit. De atunci, a suferit mai multe iterații până să devină un recunoscut standard industrial. Versiunea actuală a fost creată de către Organizația Internațională pentru Standardizare (ISO) împreună cu Comisia Electrotehnică Internațională (IEC) în 2013. În esență, este o specificație pentru un Sistem de Management al Securității Informațiilor (Information Security Management System - ISMS), pentru a ajuta organizațiile de orice dimensiune, tip sau natura afacerii pentru a gestiona persoane, procese și tehnologie. Ce au în comun ISO 27001 și GDPR? - Paralela dintre GDPR și ISO 27001 este evidentă atunci când vine vorba de securitatea datelor personale identificabile. Atât pentru respectarea GDPR, cât și pentru ISO 27001 organizațiile sunt obligate să pună în aplicare măsuri de securitate adecvate pentru a asigura confidențialitatea, disponibilitatea și integritatea. GDPR prevede în mod clar la articolul 32 că „operatorul și procesatorul trebuie să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate adecvat riscului.” ISO 27001 oferă mijloacele necesare pentru a asigura această protecție. Există multe puncte în care standardul ISO 27001 poate ajuta companiile să realizeze respectarea acestei reglementări. Iată câteva dintre cele mai relevante. ISO 27001 este un cadru pentru protecția informațiilor. Potrivit GDPR, datele personale sunt informații critice pe care toate organizațiile trebuie să le protejeze. Desigur, există cerințe GDPR care nu sunt acoperite în mod direct de ISO 27001, dar dacă implementarea
41
Catalog GDPR Ready
standardului ISO 27001 identifică datele personale ca fiind un element de securitate a informațiilor, majoritatea cerințelor GDPR vor fi acoperite. Formarea unui sistem de management al securității informațiilor (Information Security Management System – ISMS) permite organizațiilor care procesează date cu caracter personal să demonstreze că riscurile pentru datele cu caracter personal sunt revizuite în mod continuu, actualizate și îmbunătățite. Un ISMS stabilit este cadrul perfect pentru gestionarea riscurilor pentru toate activele, inclusiv pentru datele personale și pot oferi asigurări din care reiese că organizația abordează respectarea conformității ISO 27001 și GDPR în mod serios. În unele cazuri, controalele pot fi mapate cu precizie la articolele GDPR, ambele surse partajând un conținut asemănător. În alte cazuri, controalele pot bătători calea, iar conformitatea GDPR poate fi atinsă cu ceva muncă și eforturi suplimentare. Chiar și în cazul în care textul GDPR deviază de la controalele ISO, obiectivele principale nu diferă radical. Pseudonimizarea și criptarea - Criptarea datelor este recomandată de ISO 27001 ca fiind una dintre măsurile care pot și ar trebui luate pentru a reduce riscurile identificate. ISO 27001 conturează 114 controale care pot fi utilizate pentru a reduce riscurile de securitate a informațiilor. Deoarece controalele efectuate de o organizație se bazează pe rezultatele unei evaluări a riscurilor conforme ISO 27001, organizația va putea să identifice care active sunt expuse riscului și care necesită criptare pentru a le proteja în mod adecvat. Evaluarea riscurilor - ISO 27001 mandatează organizațiile să realizeze o evaluare aprofundată a riscurilor prin identificarea amenințărilor și a vulnerabilităților care pot afecta activitățile de informare ale unei organizații și să ia măsuri pentru a asigura confidențialitatea, disponibilitatea și integritatea acestor date. GDPR cere în mod special o evaluare a riscurilor pentru a se asigura că o organizație a identificat riscuri care pot afecta datele cu caracter personal. În conformitate cu controlul A.8.2.1 (Clasificarea informațiilor): „Informațiile trebuie clasificate în funcție de cerințele legale, valoare, critică și sensibilitate față de dezvăluirea sau modificarea neautorizată.” Măsuri adecvate pentru risc - Spre deosebire de legislația anterioară privind protecția datelor, GDPR oferă sugestii specifice pentru ce tipuri de acțiuni de securitate ar putea fi considerate „adecvate pentru risc”, inclusiv: Pseudonimizarea și criptarea datelor cu caracter personal; Abilitatea de a asigura confidențialitatea, integritatea, disponibilitatea și reziliența sistemelor de prelucrare și Servicii; Abilitatea de a restabili disponibilitatea și accesul la datele personale în timp util, în cazul unei situații fizice sau incident tehnic; Un proces de testare, evaluare periodică pentru eficacitatea măsurilor tehnice și organizatorice de asigurare a securității procesării. ISO 27001 cere organizațiilor să implementeze măsuri adecvate prin controalele organizaționale și tehnice pentru a sprijini respectarea acestor cerințe. Controlul A.10.1 specifică cerințele de criptare pentru organizare. Utilizarea criptării și / sau pseudo-
42
Catalog GDPR Ready
nimizarea pot asigura confidențialitatea informațiilor personale, indiferent dacă acestea sunt folosite în rețea, în tranzit sau pe dispozitive mobile. A.9 acoperă subiectul controlului accesului, care, dacă este implementat în mod corespunzător, ne va asigura că numai persoanele cu un drept legitim pot accesa informațiile în funcție de nivelul lor de privilegii. În plus, sistemele IT trebuie să fie suficient de rezistente la atacuri externe. Cadrul de control ISO 18.2.3 recomandă companiilor să efectueze teste de vulnerabilitate și teste de penetrare cu grijă, astfel încât sistemele testate să nu fie compromise. Clasificarea informațiilor - Datele sunt în centrul fiecărei afaceri și de aceea clasificarea este atât de importantă. Clasificarea informațiilor asigură manipularea corectă și monitorizarea informațiilor sensibile în interiorul și în afara unei afaceri, aspect critic atunci când este vorba de protejarea celor mai valoroase date. ISO 27001 nu prescrie nivelurile de clasificare – ceea ce ne oferă libertatea de a ne stabili propriile reguli – în funcție de complexitatea fluxurilor de date din organizație. Un număr mare de scurgeri de date sunt accidentale și pot fi evitate printr-o politică de clasificare a datelor prin sensibilizarea utilizatorilor și prevenirea transferului neautorizat al conținutului cu caracter delicat. Conformitatea - Prin implementarea standardului ISO 27001, datorită controlului A.18.1.1 (Identificarea legislației aplicabile și a cerințelor contractuale) este obligatorie existența unei liste a cerințelor legislative, statutare, de reglementare și contractuale relevante. Cum aproape orice organizație trebuie să fie conformă cu GDPR, Regulamentul va trebui să facă parte din această listă. Controlul A.18.1.4 (Confidențialitatea și protecția informațiilor de identificare personală) reprezintă chiar o substituție a GDPR pentru regiunile unde acesta nu este disponibil. Notificare privind încălcarea - Companiile vor trebui să notifice autoritățile de date în termen de 72 de ore de la descoperirea unei încălcări a protecției datelor cu caracter personal. Implementarea controlului ISO 27001 A.16.1 (Managementul incidentelor și îmbunătățirilor în materie de securitate a informațiilor) va asigura „o abordare consecventă și eficientă a gestionării incidentelor de securitate a informațiilor, inclusiv a comunicării privind evenimentele de securitate”. Potrivit GDPR, persoanele vizate trebuie să fie notificate numai dacă pierderea de date prezintă „un risc ridicat pentru drepturile și libertatea subiectului”. Implementarea gestionării incidentelor, care are drept rezultat detectarea și raportarea incidentelor de date cu caracter personal va aduce o îmbunătățire organizației care dorește să se conformeze GDPR. Gestionarea incidentelor este unul dintre procesele cheie pentru a asigura eficiența oricărei operațiuni de afaceri, iar ISO 27001 prin clauza A.13 vine cu un nivel egal, dacă nu superior, de importanță față de alte standarde și norme. Managementul incidentelor trebuie să facă parte din politicile de securitate ale oricărei organizații, alături de procedurile de backup, continuitate în business, recuperarea în caz de dezastru, gestionarea riscurilor și gestionarea configurației.
43
Catalog GDPR Ready
Gestionarea activelor - Controlul ISO A2.8 (Asset Management) conduce la includerea datelor cu caracter personal ca active de securitate a informațiilor și permite organizațiilor să înțeleagă ce date personale sunt implicate și unde să le stocheze, cât timp, care este originea și cine are acces, care sunt toate cerințe ale GDPR. Confidențialitatea prin design - Adoptarea conceptului de confidențialitate prin design, o altă cerință EU GDPR, devine obligatorie în dezvoltarea de produse și sisteme. Controlul ISO 27001 A.14 (Achiziționarea, dezvoltarea și întreținerea sistemelor) asigură faptul că „securitatea informațiilor este o parte integrantă a sistemelor informatice pe parcursul întregului ciclu de viață”. Relațiile cu furnizorii - Controlul A.15.1 (Securitatea informațiilor în relațiile cu furnizorii) necesită „protecția activelor organizației accesibile de către furnizori”. Potrivit GDPR, organizația deleagă procesarea și stocarea de către furnizori a datelor cu caracter personal; ea trebuie să respecte cerințele regulamentului prin clauzele speciale din contactele de business. Oameni, procese, tehnologie - Securitatea informațiilor nu se referă numai la tehnologie; este vorba de oameni și procese. Pe lângă controalele tehnice adoptate, documentația structurată, monitorizarea și îmbunătățirea continuă, implementarea standardului ISO 27001 promovează o cultură de conștientizare a incidentelor de securitate în cadrul organizațiilor. Angajații acestor organizații sunt mai conștienți și au mai multe cunoștințe pentru a putea detecta și raporta incidentele de securitate. Cerințele pentru îndeplinirea standardului ISO 27001 nu se opresc aici. Fiind un standard larg, acesta acoperă multe alte elemente, inclusiv importanța formării profesionale a personalului și sprijinul din partea conducerii. ISO 27001 a fost deja adoptată de mii de organizații la nivel global, fiind unul dintre cele mai populare standarde ale sistemului de management de astăzi. Este suficient ISO 27001? - Există câteva cerințe cheie GDPR care nu sunt direct acoperite în ISO 27001, cum ar fi conceptele-cheie de: consimțământ, prelucrare echitabilă, minimizarea datelor, limitarea stocării, cerința de a desemna un responsabil cu protecția datelor și susținerea drepturilor indivizilor privind accesul, rectificarea, ștergerea și transferul de date. Cu toate acestea, este clar că ISO 27001 oferă un cadru care oferă o bază solidă pentru respectarea standardelor GDPR. Dacă organizația a implementat deja standardul, aceasta este cel puțin la jumătatea drumului spre asigurarea protecției datelor personale și minimizarea riscului de scurgere, din care impactul financiar și vizibilitatea pot fi catastrofale pentru organizație. Primul lucru pe care o organizație ar trebui să-l facă este să efectueze o analiză GAP pentru a vedea ce mai are de făcut pentru a îndeplini cerințele GDPR și apoi aceste cerințe pot fi ușor adăugate prin sistemul de management al securității informațiilor care este deja stabilit de ISO 27001.
44
Catalog GDPR Ready
25 CE ESTE CULTURA GDPR DE COMPANIE? De cele mai multe ori alinierea la cerințele GDPR este privită doar ca o provocare de conformitate. Ceea ce puțini realizează încă de la început este faptul că GDPR nu implică un efort de tip ”hei-rup”, după care urmează o relaxare. Nu este un proiect de IT și nici o simplă modificare a contractelor sau a politicii de confidențialitate de pe un site de eCommerce. GDPR este începutul unui proces care ar trebui să devină ireversibil, și pentru asta are nevoie de o sursă de energie care să îl mențină în mișcare. Sursa de energie pentru menținerea condițiilor de conformitate GDPR pentru întreg ciclul de viață al unui business este capacitatea internă a organizației de a menține nivelul de compatibilitate. Și asta se cheamă politică de companie. Înainte și după 25 mai a început să se vorbească din ce în ce mai mult despre GDPR. Și asta e bine, pentru că încă e nevoie de conștientizare. Din păcate, majoritatea mesajelor care se vehiculează pun accentul pe valoarea punitivă a regulamentului. Și asta pe bună dreptate, pentru că amenzile anunțate sunt înspăimântătoare, chiar și pentru o companie mai măricică. Pentru marea majoritate însă, o penalizare de 1000000 de Euro înseamnă practic ieșirea din business. Cei care vor avea cu ce se plătească se vor confrunta cu o mare pată neagră de reputație, care se va răsfrânge asupra încrederii clienților, ceea ce creează premisele unei amenințări și mai mari decât amenzile în sine. Aceste amenințări ar trebui să genereze o mare îngrijorare în primul rând la nivelele executive. Aici nu mai e vorba de câteva măsuri rapide de modificare a unor pagini Web și de o instruire ad-hoc a personalului. Organizațiile trebuie să-și schimbe mentalitatea și oamenii de decizie trebuie să fie un exemplu. Succesul unui proiect GDPR pe termen lung se bazează pe crearea unei culturi la nivel de organizație, în care oamenii se gândesc în primul rând la modul în care ar dori ca informațiile lor personale să fie procesate. Companiile trebuie să adopte această atitudine atunci când manipulează datele personale ale clienților, ale angajaților și ale altor subiecți. Nu este vorba doar despre amenințarea cu sancțiuni financiare. Este vorba de continuitate în business și de construirea unei atitudini de încredere. Persoanele fizice trebuie să aibă încredere în companiile cărora le furnizează informațiile personale și să aibă încredere că acești operatori de date au capacitatea de a gestiona aceste informații în mod corespunzător și în siguranță. Una dintre noutățile GDPR este introducerea principiului responsabilității. Conceptul nu este nou. Dar pentru prima dată devine un principiu explicit liber. Principiul responsabilității depășește respectarea principiilor protecției datelor, deoarece implică o schimbare a culturii. Orice operator sau procesator de date trebuie să dovedească nu numai că sunt responsabile pentru protecția datelor personale, ci și să dovedească faptul că pot susține această responsabilitate. Pentru ca această responsabilitate extinsă să poată fi asimilată de o organizație, este nevoie de o schimbare culturală și organizațională.
45
Catalog GDPR Ready
Pentru crearea unei culturi GDPR companiile trebuie să adopte o abordare proactivă, metodică și responsabilă cu privire la conformitate, o cultură de confidențialitate și de protecție a datelor personale. Dacă vrei ca oamenii să-și schimbe comportamentul, trebuie să-i motivezi să dorească să facă acest lucru; ei trebuie să înțeleagă de ce este important. Această schimbare este o provocare dacă nu pot să conecteze riscurile de confidențialitate a datelor la propriile roluri și vieți private. Pregătirea personalizată pentru roluri sau personaje și utilizarea exemplelor relevante reprezintă, prin urmare, o bună practică. Pentru a educa eficient personalul dvs., lucrați îndeaproape și conectați-vă cu echipele interne - oamenii de la HR, de la contabilitate, de la logistică, de la echipele tehnice, dar mai ales de la echipele interne de comunicare. Odată construită cultura de confidențialitate a datelor, aceasta trebuie incorporată și susținută prin câteva acțiuni conjugate: Definiți atribuții periodice și punctuale clare Creați campanii periodice Construiți conștientizarea confidențialității în noile medii de business sau cu noi angajați. Faceți instructaje periodice cu angajații Pregătiți un kit de inițiere în GDPR pentru noii angajați Asigurați-vă de faptul că politicile create sunt înțelese, asimilate și respectate Discutați probleme de GDPR la kick-offuri Aplicați scenarii GDPR la evenimentele de tip team-building Rulați periodic rapoarte de analiza GAP și analiza a riscurilor Faceți acțiuni de simulare a unor breșe de securitate pentru a vedea gradul de pregătire al echipei de intervenție. Pentru ca oamenii implicați în prelucrarea de date personale să își schimbe comportamentul, trebuie motivați să dorească să facă acest lucru, nu numai ca o constrângere a impunerii unor politici. Ei trebuie să înțeleagă de ce este important. Această schimbare este o provocare dacă nu pot să conecteze riscurile de confidențialitate a datelor la propriile roluri și vieți private.
O publicație
şi get to know!
Nota copyright Copyright © 2018 Pear Media SRL și Marcom Expert SRL Toate drepturile sunt rezervate. Materialul original tipărit în acest număr aparține Pear Media SRL și Marcom Expert SRL
46
Adresa: Bd. Dimitrie Cantemir nr. 12-14, sc. D, et. 2, ap. 10, sector 4, București, 040243 Telefon: 0371- 434.301 / Fax: 021-3309285 http://www.agora.ro http://cloudmania2013.com wordpress.com/
ISSN 2393 – 3968 ISSN-L 2393 – 3968
Catalog GDPR Ready
Despre GDPR și respectul pentru interlocutor
Anca CRAHMALIUC
Mai există viață în marketingul B2B după 25 mai 2018? Cu siguranță. Intrarea în funcțiune a regulamentului european referitor la protecția datelor personale nu numai că nu va diminua valoarea acțiunilor de marketing ci o va crește semnificativ din punct de vedere calitativ. Cum? Prin credibilizare și eficientizare. Este evident că, mai ales în ultimul deceniu, evoluția amețitoare a mijloacelor electronice de comunicare a condus la o creștere exponențială a mesajelor de marketing. Multe, tot mai multe. Le citește cineva? Nu știm și nu contează. Să fie cât mai multe, adresate cât mai multor persoane. Sunt aceste persoane în grupul nostru țintă? Nu prea știm și nici nu prea contează. Dacă sunt mulți poate s-or și nimeri destui care să fie între cei care ne-ar putea fi potențiali clienți. Nu cumva îi spamăm? N-au decât să-și pună filtre... Și dacă nu știu să facă asta? Atunci să șteargă mesajele și gata… Am consemnat o succesiune de posibile întrebări și răspunsuri schimbate în ultimii ani între oamenii din departamentele de vânzări și marketing dintr-o organizație din orice industrie. Vânzările sunt esențiale pentru supraviețuirea companiei. Deci, să facem cât mai multe vânzări. Eventuale obiecții ridicate timid pot fi interpretate ca o lipsă de interes pentru soarta firmei…deci nu le mai ridicăm. Și totuși….ce șanse sunt ca o persoană complet neinteresată de produsele noastre să le și cumpere? Nu cumva agresând-o cu informații nesolicitate vom genera chiar o reacție de adversitate? Prevederile GDPR se aplică în orice situație sunt prelucrate „date cu caracter personal”. Acest lucru înseamnă că ele includ toate persoanele identificate în mod direct sau indirect, și chiar dacă ele au alocări profesionale declarate. Pe scurt, dacă dețineți numele și un număr de telefon și/sau o adresă de email ale unui contact de business, ele intră sub incidența regulilor GDPR.
47
Catalog GDPR Ready
Este nevoie ca orice acțiune de marketing B2B să se bazeze pe consimțământ? Nu chiar totdeauna. Consimțământul este baza legală pentru procesarea datelor, dar pot exista situații în care acțiuni de marketing B2B să fie justificate de „interese legitime”. Chiar și în acest caz însă, uneori, e nevoie de consimțământ pentru a respecta prevederile Privacy and Electronic Communications Regulations cunoscut și ca ePrivacy.
Când ne putem baza în acțiunile de marketing B2B pe interesul legitim? Interesul legitim poate justifica activități de marketing B2B dacă puteți arăta că modul în care folosiți datele personale este proporționat, are impact minim asupra intimității oamenilor iar probabilitatea ca adresanții mesajelor de marketing să fie surprinși de acțiunile dv sau chiar să obiecteze față de acestea să fie minime – dar numai cu condiția că nu intrați sub incidența ePrivacy. GDPR nu înlocuiește ePrivacy – trebuie să respectați prevederile ambelor în activitățile dv. de marketing B2B. UE este pe cale să înlocuiască actuala lege privind ePrivacy cu noua ePrivacy Regulation (ePR). Cu toate acestea, noul ePR nu este încă aprobat și, în consecință, continuă să se aplice actualele reguli ePrivacy (cu o nouă definiție pentru consimțământ) până când noul ePR va fi finalizat. Consimțământul implică punerea la dispoziția persoanelor a unor mijloace reale de alegere și control. Un consimțământ autentic responsabilizează persoana care îl oferă, construiește o relație bazată pe încredere și angajament și vă consolidează reputația. Oferirea consimțământului trebuie să fie evidentă și necesită o acțiune pozitivă, manifestată prin opt-in. Solicitarea consimțământului trebuie să fie proeminentă, neîngrădită de alți termeni sau condiționări, formulate concis, ușor de înțeles și utilizat de către adresant. Operatorul care cere consimțământul trebuie să-și comunice numele, scopurile și tipurile de activități de prelucrare a datelor cu caracter personal. Nu în ultimul rând, celui care a oferit consimțământul trebuie să i se garanteze posibilitatea de a-l retrage ușor, în orice moment dorește acest lucru.
Cum/cui trimitem mesaje de marketing B2B? Comercianții individuali și unii parteneri sunt tratați ca persoane fizice așa că puteți să le trimiteți mesaje de marketing numai pe bază de consimțământ exprimat explicit sau dacă au cumpărat un produs similar de la dv în trecut și nu au activat opțiunea opt out când le-ați oferit această posibilitate. Trebuie totuși să includeți în mesaj opțiunile de „opt-out” sau „unsubscribe”. Puteți transmite mesaje de marketing către orice instituție publică sau privată (de exemplu pe adrese de mail de tip office@organizatie.xxx). Este, totuși, recomandabil și uzual în sensul bunelor practici de business să aveți o listă de tip „nu trimite mesaj” cuprinzând organizațiile care obiectează sau își exprimă opțiunea de opt out, și să aveți grijă să verificați că nu se regăsește în nicio campanie de marketing pe care o desfășurați.
48
Catalog GDPR Ready
Atunci când trimiteți pe mail mesaje de marketing către angajații oricărei organizații care au adrese de business personale (de exemplu prenume.nume@organizație.xxx) se aplică toate prevederile GDPR.
Ce se întâmplă cu telemarketingul? Puteți apela telefonic orice organizație de la care ați obținut consimțământul în acest sens, de exemplu prin bifarea opțiunii „opt in”. De asemenea, puteți telefona la orice organizație aflată pe liste publice, cu condiția ca acestea să nu se fi opus în trecut să le contactați. Și în acest caz se impune existența unei liste de tip „nu suna”. Regulile privind apelurile automate sunt mai stricte. Utilizarea sistemelor de apelare automată, cu redarea unui mesaj înregistrat, nu se poate face în absența unui consimțământ explicit referitor la acest tip de abordare. Consimțământul general dat pentru acțiuni de marketing sau chiar pentru apeluri directe nu acoperă apelurile automate. În mod evident, aceste prevederi sunt de mult bun simț în business. Ce valoare poate avea un mesaj nedorit sau, și mai grav, transmis împotriva dorinței adresantului? Cu siguranță, nu numai că nu ajută vânzările sau notorietatea companiei, ci le ruinează.
...dar cu newsletterele? Trimiterea de newslettere și campaniile de emailing în general sunt asimilate acțiunilor generale de marketing B2B. În consecință, procesarea datelor cu caracter personal implicate necesită acordul explicit. Procesarea este permisă pe bază de consimțământ sau o justificare legală. De exemplu, o astfel de situație se întâlnește când între cei care trimit și cei care primesc mesajele de marketing exista o relație relevantă, proporționată. Comunicarea cu clienții existenți sau persoanele pentru care se prestează anumite servicii ar putea să se desfășoare fără consimțământ. De asemenea, dacă o companie are un interes justificat pentru a se prezenta pentru prima data în fața unor potențiali clienți (‘cold’ acquisition) o poate face prin email marketing fără consimțământ. Aceștia din urmă își pot exprima opțiunea de a nu mai primi informații prin newsletter sau email, respectiv de a nu li se folosi datele pentru scopuri de marketing. Trebuie avut în vedere că prin coroborarea articolului 95 din GDPR cu articolul 13, paragraf 1 din directiva ePrivacy 2002/58 reiese că în acest moment, emailingul nu se poate realiza decât pe bază de consimțământ.
Să recapitulăm Trebuie să le spuneți oamenilor: ce faceți cu datele lor, care sunt scopurile pentru care procesați datele, care este baza legală care permite procesarea informațiilor cât timp doriți să păstrați datele cu caracter personal cu cine partajați informațiile despre ei
49
Catalog GDPR Ready
Dacă faceți acțiuni de marketing direct în care vă bazați pe interese legitime, adresanții au în mod absolut dreptul de a obiecta și sunteți obligați să opriți procesarea datelor care îi privesc. Dacă acțiunile dv de marketing se desfășoară pe bază de consimțământ, persoanele care l-au oferit au dreptul să și-l retragă în orice moment. Atunci, trebuie să opriți procesarea. În fond, GDPR este despre modul în care trebuie să ne purtăm unii cu alții. Ce ție nu-ți place, altuia nu-i face… că aproape sigur nu-i place. GDPR va implica unele costuri suplimentare și pe partea de marketing. Pe de-altă parte, vor fi mai bine folosiți banii irosiți în construirea de baze de date nerelevante și campanii gândite strict din perspective cantitative. Rata de răspuns infimă a campaniilor de emailing sau dialogurile tensionate purtate de operatorii de telemarketing spun fără echivoc același lucru: și marketingul B2B trebuie făcut cu respect pentru interlocutor. Anca Crahmaliuc este expert în domeniul Corporate Affairs, PR și Marketing B2B, cu experiență exhaustivă in coordonarea de activități și echipe Marketing & Communications in organizații multinaționale. Este absolventă a programului MBA dezvoltat de Tiffin University in parteneriat cu Universitatea București.
Aplicarea regulamentului GDPR pentru departamentele de HR şi firmele de recrutare
Dana Cristina MATACHE În sfârșit, a venit și a și trecut ziua de 25 mai 2018 și Regulamentul este aplicabil. Regulamentul se aplică atât asupra departamentelor de HR din cadrul Companiilor cât şi asupra firmelor de recrutare. Voi analiza pe scurt câteva aspecte aplicate din perspectiva noului Regulament în domeniul relațiilor de muncă şi procedura de recrutare.
50
Catalog GDPR Ready
Resurse Umane (Human Resources/HR) Noul Regulament impune obligații stringente care se vor aplica Companiilor în raporturile de muncă. Companiile sunt obligate să comunice angajaților/salariaților printr-o notificare faptul ca datele deținute sunt confidențiale, care sunt datele cu caracter personal pe care Compania le deține, care este scopul şi temeiul juridic în baza căruia se procesează datele cu caracter personal, care este perioada de retenție a datelor cu caracter personal și dacă există un transfer de date cu caracter personal în afara României. De asemenea, conform art. 13 din Regulament, angajații/salariații trebuie să cunoască faptul că au dreptul de a solicita Companiilor accesarea şi modificarea datelor cu caracter personal. În situația în care Compania are numit un DPO (Persoana Responsabilă cu Protecția Datelor cu Caracter Personal), angajații au dreptul să cunoască datele de contact ale acestuia. O obligație în plus care aparține Companiilor este de a se asigura că au informat angajații că în situația în care un drept al acestora a fost încălcat se pot adresa cu o sesizare către A.N.S.P.D.C.P sau chiar în instanță.
Firmele de Recrutare - procesul de recrutare Un aspect care trebuie luat în considerare și care nu trebuie să fie neglijat în domeniul recrutării este cel cu privire la perioada de stocare a datelor și obținerea consimțământului din partea candidaților sau a potențialilor candidați. Ce se întâmpla cu datele personale aflate în C.V. dacă procesul de recrutare nu se finalizează cu obținerea jobului pentru care candidatul a aplicat? Recomandat este ca datele personale ale candidatului din C.V.-ul care nu a fost acceptat pentru poziția deschisă sa fie stocate până la închiderea poziției. Este bine cunoscut faptul ca bazele de date ale companiilor de recrutare dețin C.V.-uri ale candidaților care au aplicat pentru anumite joburi și care au intrat in procesul de recrutare, sau care nici măcar nu au ajuns să intre în acest proces. Din dorința de a deține a) o bază de date cu diferite profiluri cât mai numeroasă și b) de a obține un consimțământ cât mai compliant (sic!) din partea candidaților ale căror date personale sunt astăzi stocate în campaniile de re-consent, recomand firmelor de recrutare stabilirea unor reguli. Regulile stabilite trebuie comunicate candidaților pentru a le da posibilitatea de a-și exercita dreptul la opoziție privind stocarea/prelucrarea datelor cu caracter personal. O primă recomandare către firmele de recrutare ar fi: 1. să își stabilească a priori un număr maxim de mesaje transmise persoane vizate/ candidat în campania de re-consent; iar 2. absența unui răspuns din partea persoanei vizate reprezintă zero informație, chiar dacă este contrar așteptărilor și interesului firmelor de recrutare. În situația în care o persoană vizată/candidat solicită ștergerea datelor sale cu caracter personal din baza de date a firmei de recrutare, am fi tentați sa facem aplicarea art.17 din Regulament, respectiv firma de recrutare să procedeze la ștergerea informațiilor din baza de date fără întârzieri nejustificate, în același timp trebuie să consideram și cazurile
51
Catalog GDPR Ready
în care candidatul este plasat la client și reprezintă justificarea facturării onorariului recruiterului. Concluzionând, Companiile si firmele de recrutare sunt obligate să respecte drepturile și libertățile persoanelor ale căror date cu caracter personal le procesează, urmând ca pe parcursul acestui proces să fie transparente și să acționeze conform dispozițiilor din noul Regulament devenit aplicabil. Dana Cristina Matache este Avocat corporate cu experiență multisectorială, specializată în Protecția Datelor cu Caracter Personal, membră a Baroului București din anul 2009. În ultimii doi ani, a oferit asistență juridică și servicii de reprezentare în instanță unei bănci importante în a face față unui val de litigii. Anterior, a asistat o companie din domeniul petrolier cu scopul gestionării unui volum de litigii de muncă fără precedent.
Rolul și problemele departamentului IT în implementarea GDPR
Daniel SUCIU
Probleme mai vechi, trecute cu vederea până acum, dar problematice în respectarea GDPR Pentru toate sistemele IT trebuie să existe o documentație, atât tehnică, cât si un manual de utilizare. Problema este că oricum nu-l citește nimeni, ca și pe celelalte proceduri IT, deși toți se jură că l-au citit din scoarță în scoarță. Cum te poți aștepta să citescă cineva procedurile IT referitoare la utilizarea calculatoarelor personale, sau a telefoanelor, sau Doamne ferește - a emailului sau navigarea pe Internet. Păi acasă până și cel mic știe să lucreze la calculator și să navigheze pe net. O altă obișnuință în mediul românesc este exceptarea managementului de la respectarea regulilor. Adică cum să țină minte managementul o parolă complexă... și să o
52
Catalog GDPR Ready
schimbe la fiecare 90 de zile? Sau culmea, că nu poate vedea filme online sau descărca jocuri pe calculatorul de serviciu? Ce contează că o mare parte a timpului în IT se rezolvă probleme ce nu ar fi trebuit să apară, iar „excepțiile” ajung sa fie regula. Să vedem ce putem face din punct de vedere tehnic pentru a preveni, sau măcar pentru a monitoriza buna funcționare a echipamentelor și sistemelor IT. Păi toate acestea costă mult. Iar cele care nu costă au nevoie de mai mult timp/ mai mulți oameni pentru a fi configurate și folosite. De unde atâția bani? Nu s-au dat bani pentru servere? Asta a fost acum câțiva ani? Licențe, suport? Pentru ce, că de aia avem IT. Totuși IT-ul nu lucrează numai cu regulile proprii. Exista nevoi și procese pe care alții le definesc, ei fiind doar o rotiță intr-un angrenaj. Pentru a simplifica problema, să presupunem ca aceste procese au fost analizate, agreate si corect definite. Să luăm ca exemplu angajările noi sau plecările din organizație. Ce probleme ar mai putea avea IT-ul aici? Că se uită „uneori” să fie anunțat IT-ul de o nouă angajare? Că întreabă managerul de ce nu are omul lui calculator sau acces la aplicații? Nu a cerut nimeni? Cum ce drepturi să aibă în aplicații? Cele de care are nevoie. La plecare, nu a predat calculatorul de serviciu? Nu se șterg automat toate conturile si drepturile pe care le-a avut... în afară de cele ce mai pot fi necesare și nu le are altcineva? Nu? De ce? Să zicem că problemele pe care tocmai le-am semnalat s-au rezolvat între timp și totul merge cum trebuie, fiind atins un punct de echilibru între teorie și practică, între așteptări şi posibilități.
O nouă provocare – GDPR-ul Auzind despre iminența intrării in vigoare a GDPR-ului, s-a analizat operativ situația și IT-ul a fost identificat drept principalul responsabil de implementarea acestuia... pentru că e vorba de date. Eventual, poate beneficia de ajutorul neprecupețit al departamentului juridic şi are susținerea managementului. Dacă sunt foarte „norocoși” beneficiază și de asistența unei firma de consultanță. Nu le rămane decât să treacă la identificarea datelor cu caracter personal, a locului pe unde acestea „trăiesc, se înmulțesc și mor” și documentarea vieții acestora. Cu acestă ocazie IT-ul află că noțiunea de date cu caracter personal nu este ce-au crezut ei, adică datele de la HR, ci că în toate sistemele lor, serverele, ba chiar și routerele, colcăie puzderie de date personale, prin bazele de date, fișiere de configurare, ca să nu mai vorbim de log-uri. Că orice ID asociat unui utilizator (bașca IP-urile calculatoarelor sau adrese de email de serviciu) sunt date personale. Ca bonus, orice document electronic creat în organizație, chiar și gol, conține date personale în Proprietăți. Iar despre email nu are rost să vorbim. Cum să spună ei managementului că le-ar fi mult mai ușor să documenteze unde NU există date cu caracter personal? Că au incercat să caute în toată rețeaua unde apare numele sau vreun ID al fostului admin, dar s-au plictisit după ce au văzut primele zece ecrane pline?
53
Catalog GDPR Ready
Ok, după o discuție clarificatoare s-a decis să se limiteze la cele mai evidente. Zis și făcut. Se stă peste program, se sapă în date și se documentează principalele tipuri de date și procesări, ba se mai acordă și ajutor celorlalte departamente, pentru care maparea datelor și procesărilor specifice într-un excel este un lucru foarte greu... nemaivorbind că oricum au treburi mai importante de făcut, că banii nu vin singuri. Între timp, IT-ul mai află că trebuie să discute cu toți furnizorii de echipamente si soluții să actualizeze contractele cu clauze specifice de data protection (pe care le vor primi mai târziu de la departamentul juridic). În semn de deosebită apreciere pentru calitatea muncii lor, toate celelalte departamente și-au exprimat încrederea deplină în capacitatea IT-ului propriu, și mai au nevoie doar de un mic ajutor. În toate sistemele IT au nevoie de unu, două butoane mici (uneori pot fi si cinci), unul care să scoată toate datele din sistem pentru un utilizator (în funcție de orice criteriu de căutare) și unul să le șteargă. Parcă mai erau câteva variante, dar nu sunt urgente. Pentru cele dezvoltate intern nu este o problemă. Nu? Este??? Cum adică cel ce le-a dezvoltat a plecat din organizație și nu sunt documentate? Păi de ce nu sunt documentate? Las’ că vă descurcați voi, că sunteți pricepuți. O săptămână ajunge? Nu? Bine, două săptămâni. Să nu uitați să faceți un fișier, o pagină pe Intranet... cum ştiți voi, în care să se poată înregistra toate cererile venite de la clienți, foști angajați, parteneri, cum au fost tratate și când le-ați transmis datele personale. Şi era să uit, am primit de la un consultant o listă de proceduri de IT pe care trebuie să le implementați și să instruiți personalul. Ceva cu securitate, incidente.... Poate mai au nevoie de două, trei modificări minore. Cum adică avem așa ceva? De ce nu ați spus? Vă descurcați voi, cum v-ați descurcat și până acum.... Și s-au descurcat, iar toată lumea a trăit fericită, iar managementul și-a mai acordat un bonus pentru rezolvarea unei probleme spinoase... Daniel SUCIU este specialist în managementul proceselor, managementul schimbării, managementul riscului, auditul intern, guvernanța și administrarea datelor, dezvoltarea de software, operarea și suportul IT, securitatea informațiilor dar și managementul proiectelor și al echipelor crossfunționale, cu rezultate măsurabile la intersecția sistemelor, tehnologiei, proceselor, oamenilor și datelor. 30 de ani de experiențe de lucru între IT / tehnologie si echipele de business, între clienți, parteneri / furnizori, angajați și conducere. Nu în ultimul rând, certificat ca ofițer cu protecția datelor, fiind implicat în conformarea la GDPR a mai multor organizații, din diferite domenii: învățământ, ONG, turism, medical, servicii IT, afaceri sau comerț online.
54
Catalog GDPR Ready
Cei șapte ani de-acasă în politica de Cookies
Tudor GALOŞ
Am scris în articolul anterior din catalogul GDPR despre faptul că este obligatoriu ca orice proiect de aliniere la normele GDPR să aibă o abordare concentrată pe oameni. Omul este cel mai important element al oricărei inițiative de conformitate la un nou regulament, la un nou standard. Omul este cel care conduce schimbarea, cel care face lucrurile să se întâmple, dar și cel care creează cele mai mari blocaje în implementări. Cele mai bune politici de conformitate se opresc în Dorei ce nu doresc schimbarea și care „știu ei mai bine” că „merge și-așa”, că „nu se prinde nimeni” și că „facem să fie bine ca să nu fie rău”. Dorel este și cel care spune fix ca în bancul cu românul la Zoo care când vede girafa își pune mâinile în șold supărat și zice „așa ceva nu există”. Până de curând GDPR nu a existat pentru nimeni deși el „există” de peste doi ani. Lipsa comunicării, lipsa încrederii, convingerea că cineva va veni și va face magie și va suspenda aplicarea GDPR au dus la o situație în care (estimarea mea proprie și personală) peste 90% din firmele din România nu au făcut absolut nimic pentru a se alinia la normele GDPR. Este o estimare bazată pe conversațiile cu diverșii consultanți, firme de consultanță, clienți, etc. Și matematica ne susține această cifră: în România sunt cam 700 – 800.000 de firme active. Dacă 10% ar fi început proiecte de aliniere la GDPR am fi vorbit de 80.000 de proiecte coordonate de minim 80.000 de oameni (dacă este să ne gândim că este nevoie de minim un om pe companie implicat într-un proiect de GDPR). Nu, dragilor, nu suntem atâția, ar fi gemut Facebook-ul de experți. Și deși pe Facebook au explodat ofertele de consultanță GDPR, nu apar niciunde 80.000 de proiecte. Închidem matematica aici și trecem la discuția pe zona digitală, unde lucrurile sunt mult mai interesante. Site-urile reprezintă principalul punct de acces în organizații. Dacă pe vremuri vorbeam de cărțile de vizită ale managerilor dintr-o organizație ca fiind principalul vector de contact, astăzi site-ul este principalul vector de contact. Modul în care site-ul este organizat, optimi-
55
Catalog GDPR Ready
zat, indexat contribuie decisiv la succesul sau drumul spre mormânt al firmei. Peste 90% din tranzacțiile B2B sunt pornite printr-o căutare pe net, căutare care aterizează într-un site. Și totuși în aceste ultime zile site-urile au fost printre cele mai batjocorite din punct de vedere al conformității la GDPR. Începem cu formularele de consimțământ. Au ajuns site-urile să îți ceară consimțământ pentru orice. O importantă linie aeriană românească cere consimțământ de prelucrare a datelor în momentul în care vrei să plătești biletul de avion online cu toate că are deja temeiul legal pentru prelucrarea acestor date. Și stai și te uiți și te întrebi cine o fi realizat acest frumos mecanism de pierdut click-uri, lead-uri și bani. Continuăm cu site-urile care cer consimțământ la consimțământ și care deja au devenit inutilizabile pentru simplul motiv că și-au luat ca și consultant GDPR un student la drept care a citit legea la o bere și care acum își dă cu părerea în zona de digital după ce a petrecut și el câteva ore pe la pariuri sportive (și ca să fiu cu totul și cu totul rău, așa se naște noua generație de „digital experts”). Oameni buni, nu vă bateți joc de consumer journey (drumul cumpărătorului pe limba noastră dulce românească). Orice click în plus, orice pas în plus înseamnă mii de EUR pierdute (ok, pentru unii zeci de mii dar nu ne pierdem în zero-uri). Există modalități inteligente de a optimiza fluxul de date într-un site găsind temeiurile legale potrivite și cerând consimțământ doar acolo unde este strict nevoie (de exemplu pentru cookie-uri – vorbim mai jos de ele – sau pentru înscrierea la un newsletter). Și că tot am ajuns la subiectul cookies, lacrimile au curs șiroaie zilele acestea pe site-uri în ceea ce privește cookie-urile. Aici digital super-gurus-super-experts-black-belt-ninjas s-au trezit în fața unei alegeri: lăsăm utilizatorul să aleagă dacă rulează sau nu cookie-urile (astfel fiind GDPR-compliant) și pierdem orice șansă de remarketing/retargeting/ profilare sau îi băgăm pe gât cu forța cookie-urile pe principiul „mi-a sfințit preotul site-ul și nu vine autoritatea să mă verifice”. Înainte de a trata subiectul cookie-urilor trebuie să înțelegem puțin principiul cheie al GDPR: „ce ție nu-ți place altuia nu-i face” (Give Data Proper Respect). Și de asemenea trebuie să înțelegem foarte bine ce înseamnă date cu caracter personal. Și mai trebuie să luăm în calcul poziția IAB, Internet Advertising Bureau, o asociație care stabilește normele și ghidurile de bune practici în ceea ce înseamnă publicitatea online. „Ce ție nu-ți place” – toată lumea s-a șocat când a auzit de Facebook și Cambridge Analytica și de faptul că sunt milioane de alți jucători ce fac chestii similare la o scară mai mică sau chiar mai mare. Unul din instrumentele folosite pentru profilarea utilizatorilor poate fi chiar cookieul. Un cookie este un fișier text pe care un site îl trimite browserului să-l stocheze pe dispozitiv pentru a reţine informații despre utilizator: informații de conectare, preferințe de limbă dar și pentru a urmări utilizatorul pe unde se „plimbă” pentru a-i oferi conținut și reclame mai relevante. Practic pentru a-l profila, mai bine sau mai prost. Cookie-ul poate să nici nu fie neapărat al site-ului ci al unei părți terțe iar tu ca utilizator să nici nu știi că cineva te urmărește. Dar cum să știe că tu ești să zicem Ion Popescu din Dragomirești-Deal? Și aici vine noțiunea de „date cu caracter personal”. Spre diferență de PII – personal identifiable information – datele cu caracter personal reprezintă orice informații sau seturi
56
Catalog GDPR Ready
de informații ce pot duce la identificarea unei persoane direct sau indirect. Adică nu trebuie tu să știi că un cookie este al lui Ion Popescu ci o mașină să fie în stare să îl identifice pe Ion Popescu doar pe baza comportamentului său online. Sau legând efectiv diverse informații despre un anumit IP sau alt identificator online. Mulți dintre clienții mei s-au șocat să vadă ce a fost în stare să determine de exemplu Google despre ei doar pe baza comportamentului lor online (și Google este unul dintre jucătorii foarte transparenți!). Ce zice IAB? IAB a publicat un framework, un set de bune practici denumit Transparency Consent Framework – dezbaterea, prezentările și modurile de implementare le regăsiți la http://advertisingconsent.eu/ . Dincolo de prezentarea framework-ului IAB-ul dă trei seturi de recomandări pentru consimțământul asupra cookie-urilor: consimțământ/ respingere pentru TOATE cookie-urile ne-necesare site-ului (cele de care nu depinde funcționarea siteului, cum ar fi cele statistice și de marketing), consimțământ/respingere pentru SCOPUL cookie-urilor (de marketing, de statistică etc), consimțământ/respingere pentru VENDOR-ul cookie-urilor (Google, Taboola etc). Implicit cookie-urile ne-necesare trebuie să fie oprite, cu excepția cazului în care există un TEMEI LEGAL ca ele să fie pornite. Și aici vine de fapt inspirația și creativitatea departamentelor de marketing în a găsi temeiul legal pentru care poți urmări utilizatorii (de exemplu interesul legitim al operatorului când acesta prevalează asupra drepturilor și libertăților persoanelor vizate – dar este genul de temei legal ușor contestabil deci ai trebuie să decizi dacă merită sau nu riscul). Oricum se recomandă instalarea unui Cookie Consent Tool care de obicei îți oferă modalități granulare de consimțământ. Cu această ocazie de obicei clienții mei descoperă o tonă de cookie-uri de care nu mai au nevoie, uitate prin diverse colțuri ale site-ului. Și se face curățenia generală. Însă contează mult să îți dai seama exact ce vrei exact cu cookieurile tale, de ce ai nevoie de ele. Pentru că doar așa îți dai seama dacă este business-critical să menții un cookie, să fii sigur că datele personale ce pleacă prin acel cookie la un terț sunt bine protejate și nu sunt folosite în alte scopuri și să îți convingi utilizatorii să creadă în cookie-urile tale și în site-ul tău. Și ghici ce, asta ține fix de „ce ție nu-ți place...”. Ține de cei șapte ani de acasă. Tudor Galoș a fost director de marketing pe consumer la Microsoft România vreme de șase ani și înainte de asta s-a ocupat de business-ul de Windows și Office pe România, Bulgaria și Europa de Sud-Est, fiind responsabil de lansări precum Windows Vista, Windows 7, Windows 10, Office 2003, Office 2007, Office 365 și multe alte produse și servicii. A lucrat cu firme mici, medii și mari din întreaga Europă. Din Septembrie 2017 coordonează propriul său business, Tudor Galos Consulting cu focus pe consultanța de business și management în zona start-up-urilor, a spin-off-urilor și a transformării digitale. Tudor privește alinierea la GDPR ca pe un proiect de transformare digitală ce începe cu oamenii – modul în care ei învață, înțeleg și adoptă importanța datelor personale și a respectării lor în toți pașii unei procesări.
57
Catalog GDPR Ready
Australia, o țară non-UE, conștientizează impactul GDPR asupra mediului său de afaceri
Ion IORDACHE
Prin luna februarie 2017, în cadrul unui curs „Certified ISO/IEC 27001 Lead Auditor” organizat de iQuality Services la Melbourne le-am spus cursanţilor că în Europa a intrat în vigoare noul Regulament European General de Protecţia Datelor (GDPR) care se va aplica începând cu data de 25 mai 2018. Așa am constatat că interesul lor pentru GDPR este destul de mare pentru că știau despre ce este vorba. La acea dată în Australia se luaseră deja primele măsuri de informare asupra cerințelor GDPR și chiar erau propuse modificări legislative semnificative privind securitatea datelor personale. În Australia există, încă din 1988, o legislație specifică privind confidențialitatea („The Privacy Act”) care este fundamentul reglementării vieții private în Australia. Anul acesta, „The Privacy Act” a fost modificat și a fost stabilit un regim de notificare obligatorie a încălcărilor de date „eligibile”. Poate că nu a fost chiar întâmplătoare introducerea acestor modificări în „House of Representatives” la 19 octombrie 2016. GDPR a intrat în vigoare pe data de 25 mai 2018. Odată cu intrarea în vigoare a GDPR, companiile australiene care de regulă au adoptat o abordare mai transparentă și destul de conciliantă față de confidențialitatea datelor personale sunt puse în fața unei noi provocări atât datorită prevederilor proprii legislații cât și a GDPR. Autoritatea de reglementare australiană, responsabilă cu aplicarea „The Privacy Act”, OAIC (Office of the Australian Information Commissioner) a publicat, în luna mai 2017, un Ghid foarte bine documentat cu noi orientări pentru companiile australiene cu privire la cerințele GDPR în care se precizează, cu exemple și tabele comparative, că GDPR include
58
Catalog GDPR Ready
cerințe care seamănă cu cele din „The Privacy Act” și sunt prezentate măsurile suplimentare ce urmăresc promovarea unor practici transparente de gestionare a informațiilor și a responsabilităților companiilor în ceea ce privește manipularea datelor. OAIC a făcut o publicitate susținută GDPR și a încurajat companiile private de orice mărime ar fi ele și entitățile din sectorul public să-și revizuiască practicile de confidențialitate și nivelul de respectare a obligațiilor lor în conformitate cu GDPR și să ia măsuri imediate pentru a se asigura că practicile lor de colectare și manipulare a datelor personale respectă Regulamentul, înainte de data punerii sale în aplicare. Pentru toate organizațiile australiene, prelucrarea datelor despre angajați constituie un motiv de îngrijorare. Conform legislației australiene de confidențialitate, există o serie de scutiri pentru unii angajatori din sectorul privat care gestionează informațiile personale ale angajaților dar nu există o astfel de exceptare în cadrul GDPR. Prin urmare, orice organizație australiană care deține sau procesează datele angajaților săi rezidenți din UE trebuie să-și revizuiască, imediat, practicile de prelucrare a datelor referitoare la aceștia, să determine eficiența practicilor lor de informare și de securitate și să pună în aplicare măsuri pentru a asigura conformitatea cu GDPR. Un alt motiv de îngrijorare pentru companiile australiene este acela generat de valorile uriașe ale amenzilor pentru încălcarea GDPR. Deși GDPR ar putea să nu se afle pe lista de priorități pentru multe companii australiene, acestea ar putea primi amenzi foarte mari dacă încalcă GDPR după intrarea sa în vigoare la 25 mai 2018. Guvernul australian a cerut tuturor departamentelor guvernamentale și organismelor publice să-și revizuiască în mod corespunzător practicile de prelucrare a datelor din UE, inclusiv cu furnizorii terți, pentru a evalua expunerea acestora. O cerință obligatorie pentru toate autoritățile publice australiene: în cazul în care activitățile de prelucrare ale unei autorități publice intră sub incidența articolului 3 din GDPR, pe lângă obligațiile sale generale, există, de asemenea, obligativitatea de numire a unui Data Protection Officer (DPO). La o conferință găzduită în luna mai 2017 de OAIC, The Privacy Commissioner, Timothy Pilgrim, a subliniat în mod expres importanța GDPR pentru companiile australiene și a avertizat că OAIC va urmări cu atenție conformarea acestora cu GDPR. Există însă și o veste bună. Având în vedere asemănările dintre GDPR și „The Privacy Act” (în special existența în cadrul acestuia a principiilor australiene de confidențialitate) privind informațiile personale și manipularea datelor personale, companiile australiene ar putea avea deja unele măsuri impuse în cadrul GDPR. Avantajul Australiei, fața de foarte multe alte țări este acela că are o industrie și o cultură a dezvoltării profesionale continue foarte bună. Companiile private și toate organizațiile guvernamentale privesc formarea profesională continuă ca pe o investiție extrem de rentabilă pentru care alocă resurse importante. Acesta este unul din motivele principale pentru care o companie australiană nu va desemna pe cineva pe o funcție așa de importantă ca DPO fără să-i asigure acestuia accesul
59
Catalog GDPR Ready
la o formare de calitate și nici nu va angaja prea ușor pe cineva care doar pretinde că știe ce trebuie să facă chiar dacă va scoate la interviul de angajare un dosar de diplome şi certificate. Am observat acest lucru în cei câțiva ani de când compania mea, iQuality Services, oferă servicii de training și consultantă pe piața din Australia unde cursanții, niciodată, nu mi-au dat impresia că sunt dispuși să plătească pentru a obține doar o hârtie. În ultimii doi ani, datorită informărilor sistematice pe care OAIC și alte agenții guvernamentale le fac, a crescut semnificativ interesul pentru două cursuri din portofoliul nostru: PECB Certified ISO/IEC 27001 Lead Implementer şi PECB Certified Data Protection Officer. Datorită interesului pieței, am creat o serie nouă de cursuri de nivel avansat: Advanced Implementation – Information Security Management System based on ISO/IEC 27001:2013 şi Advanced Implementation the European Union’s General Data Protection Regulation (GDPR) Requirements. Ultimele două cursuri (Advanced Implementation) le-am creat împreună cu RQM Cert din Timișoara. Acestea vor fi lansate în România până la sfârșitul acestui an și vor avea și o varianta on-line pe care o vom pune în practică împreună cu Universitatea Politehnică Timișoara în baza unui parteneriat. Ion Iordache este managing director și fondator al companiei iQuality Services Pty. Ltd. din Melbourne, Australia, consultant și trainer pentru RQM Cert din Timișoara, România. Poate fi contactat la adresa: ion@ioniordache.com, https://iqualityservices.com.au
60
Catalog GDPR Ready
Provocări aduse de datele cu caracter personal în industria telecom
Iulian MATACHE
Poate una dintre cele mai dinamice şi cu un înalt grad de digitalizare, industria telecom este confruntata cu provocări născute atât din GDPR, cât şi din interacţiunile Regulamentului cu legislaţia deja aplicabilă domeniului. Astfel, dacă GDPR este aplicabil tuturor industriilor, în domeniul comunicațiilor electronice găsim ca lex specialis Directiva 2002/58/EC („ePrivacy Directive”) transpusă în legislația naționala prin Legea 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice (cu modificările şi completările ulterioare). De asemenea, se afla în curs de aprobare Regulamentul ePrivacy care va aduce o sporită uniformitate a aplicării reglementarilor europene privind protecția datelor cu caracter personal într-un cadru extins al comunicațiilor electronice incluzând şi operatori OTT (Whatsapp) sau VOIP (Skype). Intrând în specificitatea provocărilor aduse companiilor de telecom este de mentionat faptul că prin natura tehnologiei operatorul este în posesia multor date cu caracter personal cum ar fi: localizarea precisa a utilizatorului, conținutul comunicațiilor, respectiv metadate despre trafic. Aceste date sunt procesate pentru furnizarea serviciului contractat, respectiv pentru operațiuni de optimizare a traficului sau rezolvarea incidentelor semnalate de anumite elemente de rețea. Independent de întemeierea legală a procesării, operatorul este obligat sa minimizeze colectarea şi retenția acestor date atât cât îi permit obligațiile legale sau contractuale. Este important să înțelegem că un operator de telefonie mobilă reprezintă un organism viu prin care permanent circulă volume impresionante de date. Art. 32 privind securitatea procesării obligă la depunerea unor diligente adecvate riscului asociat datelor procesate. De asemenea, controlul accesului angajaților operatorului la datele cu caracter personal ale clienților trebuie gestionat foarte atent. Nu o dată au fost tentați diverși
61
Catalog GDPR Ready
angajați să utilizeze în scop personal accesul privilegiat la aceste date, acțiuni care au generat reclamații şi acțiuni disciplinare. Serverele pe care sunt testate diverse aplicații folosind date productive reprezintă risc de scurgeri de date. În astfel de situații se recomandă tratarea datelor cu soluții de data masking, rezultatul fiind echivalentul pseudonimizării. O zona de procesare sensibilă o reprezintă calcularea automată a scorului de risc la activarea serviciului, respectiv interogarea sistemului Preventel. Este un fapt cunoscut ca în absenţa unui istoric privind comportamentul de plată al abonatului, companiile telecom alcătuiesc un profil de risc al acestuia, profil care poate produce efecte juridice precum solicitarea unei plăţi în avans sau constituirea unei garanții, respectiv întreruperea mai devreme sau mai târziu a accesului la servicii. De asemenea, în sistemul Preventel toți operatorii telecom introduc date despre persoanele fizice care nu şi-au îndeplinit obligațiile de plată sau au desfășurat acțiuni fraudulente. Art. 14(2)g) stipulează obligația operatorului de a prezenta informații privind „existenţa unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22 alineatele (1) şi (4), precum şi, cel puțin în cazurile respective, informații pertinente privind logica utilizată şi privind importanţa şi consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.” Ceea ce implică transparentizarea algoritmilor de scoring în Nota de Informare, obligație dificil de transpus în practică. În plus, va fi interesant de urmărit exercitarea drepturilor persoanelor vizate, în special dreptul la rectificare sau ștergere în legătura cu sistemul Preventel. Profilarea de risc şi implementarea chatbot-ilor / asistenților digitali riscă să dea naștere unor conflicte cu dreptul persoanelor vizate de a nu face obiectul unor decizii automate (Art. 22). Pe acest aspect Grupul de Lucru Art. 29 a luat o poziție şi mai rigidă interpretând dreptul ante menționat ca o obligație a operatorului de a nu desfășura o atare procesare în scopul unor decizii automate, atrăgând critici din partea profesioniștilor din domeniul protecției datelor. Forma finală a Regulamentului ePrivacy (aflat în prezent în curs de aprobare) va aduce noi obligații pe umerii operatorilor telecom. Va fi în continuare interesant de urmărit modul în care aceștia reușesc să echilibreze cerințele de reglementare cu constrângerile tehnologice şi necesitățile de business. Iulian MATACHE este advisor independent cu o experiență de peste 15 ani formată la granița dintre IT şi juridic. Certificărilor CIPP/E şi CIPM ale IAPP li se adaugă experiența în proiecte de audit şi implementare GDPR în companii din domeniul telecom, media, jocuri de noroc, energie și aviație.
62
Catalog GDPR Ready
ISO 27001 - un sprijin real pentru conformitatea GDPR/RGPD
Dan Cristian MATEI
Organizaţiile care au studiat prevederile GDPR şi sunt în plin proces de intrare în conformitate cu cerinţele acestuia sunt deja conștiente de faptul că standardele de buna practică sunt un motor al dezvoltării. Inclusiv Regulamentul sugerează pe termen mediu elaborarea codurilor de conduită, aplicabile unor diferite industrii. Deși aparent cadrul de reglementare a rămas în urma dezvoltării tehnologiei societății informaționale, în opinia mea activitatea de standardizare tehnică în plină desfășurare la acest moment pe diferite verticale (exemplu cloud, tranzacții distribuite, etc) va acoperi şi sprijini în viitorul apropiat necesitățile de dezvoltare a diferitelor industrii precum şi dezvoltarea susținută a unor noi tehnologii. Standardul internațional de securitate a informațiilor EN ISO/IEC 27001 este un standard care ajută companiile să se conformeze unor modele internaționale de bune practici. Standardul acoperă trei componente cheie ale securității datelor - persoane, procese și tehnologie. Atunci când se iau măsuri pentru protejarea informației considerând aceste trei axe, companiile sunt mai bine pregătite pentru a proteja informațiile, pentru a diminua riscurile și pentru a își îmbunătăți constant procesele interne. Ca atare, se menține tendința ultimilor ani din sectorul corporativ de a considera implementarea şi certificarea EN ISO/IEC 27001 drept o decizie strategică care a adus beneficii certe. Un Sistem de Management implementat conform EN ISO/IEC 27001 asigură punerea în aplicare a cerințele GDPR relevante, prin implementarea măsurilor tehnice adecvate pentru diminuarea riscurilor legate de securitatea informației. Prin abordarea sa cuprinzătoare, un Sistem de Management al Securității Informației – SMSI certificat EN ISO/IEC 27001 poate ajuta o organizație să-și protejeze toate resursele informaționale, inclusiv asupra atacurilor cibernetice şi nu doar datele cu caracter personal. Conformi-
63
Catalog GDPR Ready
tatea ISO 27001 înseamnă că o companie a luat măsuri pentru a își gestiona în mod continuu riscurile de securitate a datelor. În acest fel, este capabil să țină pasul cu amenințările în continuă evoluție ale securității datelor. Cum ne poate ajuta EN ISO/IEC 27001 în demersul de conformare? Valoarea adăugată este certă:
A
Dacă standardul a fost deja implementat de către o companie, compania respectivă are deja asigurată conformitatea cu o mare parte din cerințele Regulamentului,
mai precis la nivel de articole (în ordinea relevanţei): 32, 25, 5, 19, 33, 34, 24, 2, 1, 3. Având în vedere că există domenii din Regulament care nu sunt acoperite în totalitate de EN ISO/IEC 27001 şi aici ne referim de exemplu la dreptul la portabilitatea datelor, dreptul de a fi uitat; în vederea implementării tuturor cerințelor RGPD, o companie care deține un SMSI certificat ISO 27001 ar trebui să parcurgă o analiză a decalajelor (GAP) fata de cerințele Regulamentului. Pentru o companie care nu are deja implementat un SMSI conform EN ISO/
B
IEC 27001, implementarea acestuia va oferi un cadru pe care se poate con-
strui structura cerută de Regulament, începând de la alocarea responsabilităților şi a demonstrării aderenţei la Principiile legate de prelucrarea datelor cu caracter personal, o desfășurare integrată a cartografierii proceselor şi datelor prelucrate, evaluării riscurilor, s.a.m.d.
Introduction to Machine Learning, București 14-15 iunie 2018 Advanced Machine Learning: Scientific Python and Machine Learning, București 12-13 iulie 2018 Machine Learning for Development Leaders, București, 19 iulie 2018
Detalii la http://www.agora.ro/cursuri 64
Catalog GDPR Ready
Deoarece în Regulament singurele referiri la măsurile tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate sunt criptarea și pseudonimizarea, în lipsa unor alte precizări standardul EN ISO/IEC 27001 precum şi alte standarde înrudite pot ajuta la identificarea „stadiului tehnicii” precum şi celor mai bune practici. De un real ajutor pot fi EN ISO/IEC 27002 – Cod de bună practică pentru tehnici de securitate, aplicabil tuturor industriilor, ISO/IEC 29151 Cod de buna practica pentru protecția informațiilor de identificare personală (PII), iar în contextul orientării spre serviciile din cloud, revizia unor standarde tehnice din familia ISO27000 cum ar fi ISO/ IEC 27018 asigura alinierea organizațiilor la ultimele cerințe. Trebuie avut însă în vedere că fără un program cuprinzător de securitate a informațiilor care să ia în considerare așa cum s-a menționat mai sus şi factorul uman, nivelul de securitate şi gradul de protecție va scădea. Procesele de business nemenținute în parametrii planificați, lipsa unui angajament pentru securitatea informațiilor în întreaga organizație precum și problemele legate de personal se numără printre cele mai frecvente cauze ale incidentelor legate de securitatea datelor. Conformitatea EN ISO/IEC 27001 demonstrează că organizația revizuiește în mod constant și actualizează ISMS în conformitate cu schimbările aduse mediului în care își desfășoară afacerile. Obținerea certificării EN ISO/IEC 27001 ajută companiile să obțină o evaluare externă și independent a eficacității planurilor sale de securitate a informațiilor, asigurându-se totodată că măsurile implementate funcționează iar controalele tehnice sunt adecvate. Dan Cristian MATEI este Lead auditor ISO 9001, 27001 al organismului de certificare RINA. Este absolvent al Universității Politehnica București și al unui program de masterat în domeniul managementului calității. A fost implicat în implementarea unui proiect complex legat de monitorizarea rețelei de emițători radio TV aparținând SN Radiocomunicații. Ulterior, a ocupat funcția de Technical Quality Coordinator al Departamentului Technology din ORANGE Romania, apoi QEHS Manager al Huawei Technologies Romania pentru toate operațiunile şi proiectele locale. Având peste 16 ani de experiență în industria telecom, aria sa de expertiză include redesign şi optimizare de procese, eTOM framework, conformitate SOX, TL9000, GDPR, implementarea și dezvoltarea de proiecte de infrastructura complexe, cloud computing, cybersecurity, IT governance, security și audit. Opiniile prezentate în acest articol reprezintă recomandările personale, în calitate de auditor ISO27001 şi nu reflectă în nici o circumstanță poziția oficială a RINA.
65
Catalog GDPR Ready
Supravegherea video și GDPR. Ce se va schimba? S-au scris mii de articole, s-au organizat nenumărate evenimente despre GDPR. Ar fi aproape imposibil să nu știţi deja detalii despre noul Regulament general privind protecţia datelor (GDPR), care va afecta aproape orice business care colectează sau prelucrează datele cu caracter personal ale persoanelor care trăiesc în Uniunea Europeană (UE). Așadar, noul regulament, care a intrat în vigoare la data de 25 mai, este conceput pentru a oferi mai mult control fiecărei persoane asupra modului în care datele sale sunt colectate, procesate, stocate și partajate. În calitate de organizație cu activitate internațională, Axis Communications s-a angajat întotdeauna să respecte și să protejeze intimitatea persoanelor și, prin urmare, urmărim cu atenție introducerea GDPR și ne străduim să ne asigurăm că propria noastră afacere, precum și canalul nostru de parteneri, cunoaște și respectă regulamentul. O mare parte din discuțiile în jurul GDPR s-au axat pe datele personale de tip text, de exemplu, numele, adresa de e-mail și adresa fizică, data nașterii, informațiile financiare etc. Ceea ce poate nu a fost suficient dezbătut este importanța în egală măsură a datelor vizuale, cum sunt imaginile și videoclipurile. Dar și în situația în care o organizație este implicată în captarea sau prelucrarea datelor vizuale prin care o persoană ar putea fi identificată direct sau indirect, se aplică normele GDPR. GDPR are implicații majore, însă oferă și oportunități de business pentru clienții și partenerii Axis, iar mai multe detalii am publicat pe site-ul companiei și în cadrul unui material Whitepaper (site axis.com) care vă ajută să înțelegeți impactul GDPR asupra supravegherii video, precum și o parte din pașii pe care trebuie să îi parcurgeți pentru a vă conforma la acest regulament.
Cum influențează GDPR supravegherea video? În măsura în care o înregistrare de supraveghere conține date cu caracter personal, acesta va face obiectul reglementărilor. Respectarea GDPR este un proiect pe termen
66
Catalog GDPR Ready
lung care implică redistribuirea proceselor interne și a sistemelor informatice, ceea ce poate dura mai multe luni până la ani pentru diferite entități. GDPR introduce unele noi obligații, cum ar fi responsabilitatea păstrării înregistrărilor de date în siguranță. Deoarece operarea unui sistem de supraveghere nu poate fi considerată prelucrare ocazională, fiecare operator de CCTV trebuie să se pregătească pentru această nouă îndatorire din timp. În plus, GDPR conține o secțiune separată referitoare la securitatea datelor, care se referă la obligațiile administratorului rețelei de supraveghere.
Cei monitorizați trebuie să știe Potrivit GDPR, administratorul trebuie să ia toate măsurile necesare pentru a furniza persoanelor monitorizate informații într-o manieră scurtă, transparentă, inteligibilă și ușor accesibilă cu privire la prelucrarea datelor lor de către sistemul de camere, în special atunci când este vorba de date despre copii. Aceasta înseamnă că atunci când intru într-un magazin unde mă urmăresc camerele foto, pe lângă semnul cu informații despre camere, am dreptul să cunosc detaliile înregistrării și administratorul trebuie să facă aceste informații disponibile în scris sau prin alte mijloace afişate în print sau format electronic.
Raportarea obligatorie a scurgerilor de date Raportarea de riscuri în protecția datelor cu caracter personal către Autoritatea de Supraveghere reprezintă o nouă obligație în baza căreia administratorul trebuie să notifice fără întârziere nejustificată orice încălcare a securității datelor cu caracter personal autorității de supraveghere competente și, dacă este posibil, în termen de 72 de ore pentru a deveni conștienți de riscuri, cu excepția cazului în care este puțin probabil
67
Catalog GDPR Ready
ca încălcarea să ducă la un risc pentru drepturile și libertățile persoanelor fizice. Această nouă îndatorire se va aplica cu siguranță operatorului de supraveghere video, deci este esențial ca acestea să țină pe deplin seama de prelucrarea în siguranță a înregistrărilor.
Care este impactul monitorizării propriilor angajați? Normele au în vedere legislația existentă care permite avizul Oficiului pentru Protecția Datelor cu Caracter Personal. Prin urmare, angajații vor fi informați cu privire la localizarea sistemului de camere, dar nu este nevoie consimțământul angajaților, deoarece implică prelucrarea datelor cu caracter personal pe baza interesului legitim al angajatorului.
Ce este diferit? Nu avem obligația de notificare a Oficiului pentru Protecția Datelor cu Caracter Personal privind instalarea sistemului de camere de supraveghere în cadrul companiei (CS); Obligația administratorului de a furniza mai multe informații despre metoda de prelucrare a datelor cu ajutorul sistemului de supraveghere; Obligația administratorului de a ține o evidență scrisă a operațiunilor de supraveghere prin camere video; Obligația administratorului de a raporta furturi/ scurgeri de date cu caracter personal (sau de încălcare a securității) la Oficiul pentru Protecția Datelor cu Caracter Personal în cel mai scurt timp (72 de ore); Obligația de a elabora o evaluare a impactului protecției datelor (DPIA) în ceea ce privește «monitorizarea sistematică extinsă a spațiilor publice»; Obligația de a numi un ofițer de protecție a datelor (se aplică entităților publice sau specialiștilor pentru prelucrarea datelor cu caracter personal).
68
Catalog GDPR Ready
Ce rămâne la fel? Dacă supravegherea video este generală, acordul nu este necesar, inclusiv pentru angajați; Operațiunile de supraveghere video, precum și înregistrările stocate sau datele personale trebuie să fie protejate în mod adecvat împotriva accesului neautorizat. Potrivit GDPR, administratorul oricărei companii trebuie să ia toate măsurile necesare pentru a furniza persoanelor monitorizate informații într-o manieră scurtă, transparentă, inteligibilă și ușor accesibilă cu privire la prelucrarea datelor lor de către sistemul de supraveghere, în special atunci când este vorba de date despre copii. Aceasta înseamnă că atunci când intru într-un magazin unde mă urmăresc camere video, pe lângă semnul cu informații despre camere, am dreptul să cunosc detaliile înregistrării și administratorul trebuie să facă aceste informații disponibile în scris sau prin alte mijloace, imprimate sau sub formă electronică. Într-un moment în care tehnologia, camerele inteligente permit companiilor să colecteze informații mult mai sensibile despre indivizi, este, cu siguranță, nevoie de o supraveghere mai strictă a protecției datelor cu caracter personal. O înregistrare video a unei persoane identificabile face parte, în mod natural, din datele personale ale unui individ. Prin urmare, operatorii de sisteme de supraveghere video trebuie să aplice cu multă responsabilitate toate normativele de protecție a datelor personale.
69
Catalog GDPR Ready
70
Catalog GDPR Ready
71
Catalog GDPR Ready
GDPR
DataKlas GDPR – 4 module într-o singură soluție În procesul de conformare la GDPR trebuie să ai grijă de datele pe care le colectezi, de motivele pentru care le colectezi, cine este responsabil, unde și cum sunt stocate. DataKlas GDPR este o platformă web-based colaborativă care permite managementul, crearea, modificarea, administrarea proceselor de business supuse reglementărilor GDPR, toate aceste componente fiind incluse într-o formă unitară numită Registrul GDPR. Componenta DPIA (Data Protection Impact Assessment) are în vedere evaluarea impactului privind protecția vieții private, cu scopul de a identifica și de a analiza modul în care securitatea datelor personale poate fi afectată de anumite acțiuni sau activități. Prin Portal pentru drepturile utilizatorului, Subiecții își pot exercita drepturile conform Regulamentului GDPR. Modul de gestionare incidente include o serie de facilități de descriere a breșelor de protecție, de descriere a măsurilor întreprinse, formatele de notificare către ANSPDCP, precum și cele de notificare a utilizatorilor. Soluția DataKlas reprezintă o platformă online colaborativă pentru managementul, crearea, modificarea și administrarea proceselor de business supuse reglementărilor GDPR. Registrul GDPR conține o serie de componente cuprinse într-o formă unitară: Fluxuri Intersecții activități Listare pentru autorități Drilldown pe procese Permisiune acces persoane autorizate, conform schemei de personal implicat în auditarea și verificarea activităților supuse reglementărilor GDPR Scanarea relațiilor cu terțe părți și urmărirea documentelor necesare procesării datelor. Sistemul integrat în platforma web-based HTSS permite submiterea și aprobarea proceselor conform organigramei interne. Fiecare acțiune și proces se validează doar de
72
Catalog GDPR Ready
DataKlas GDPR – 4 module într-o singură soluție
DPIA
Portal Drepturi Utilizatori
Registrul GDPR
Modul gestionare incidente
către un Data Protection Officer. Pentru fiecare dintre aceste acțiuni sau procese se pot defini useri distincți. Aplicația vine în ajutorul tuturor operatorilor de date personale, punându-le la dispoziție un mediu în care aceștia își pot defini fluxurile activităților pe care le execută. Definirea acestor fluxuri reprezintă cartografierea prelucrărilor de date cu caracter personal. Astfel se înregistrează o evidență a activităților de prelucrare a datelor cu caracter personal. Prin modalitatea în care acesta evidență este înregistrată în aplicație se acoperă tot traseul datelor dintr-o organizație. Evidența activităților de prelucrare cuprinde informații precum sursele de date, persoanele vizate ale căror date sunt prelucrate, metodele de prelucrare, sistemele care prelucrează datele, modalități de stocare, măsuri de securitate, temeiul legal al procesării, perioada de stocare a datelor, utilizatorii care au acces la date cu caracter personal, destinatarii datelor etc. Modalitatea de transpunere a fluxurilor în aplicație este una foarte simplă. La nivel de organizație se completează tipurile de date cu caracter personal care sunt prelucrate, sistemele din interior cu ajutorul cărora se prelucrează, utilizatorii acestora, operatorii împuterniciți, asociații, sursele de unde sunt luate datele etc, după care toate aceste informații sunt puse cap la cap, formând diferite fluxuri. Mai departe se definesc fluxuri precum cele de marketing, unde putem spune că se folosește emailul (data cu caracter personal) pe care îl obțin din sursa de date x și sistemul CRM cu ajutorul căruia trimit o campanie newsletter. Astfel se înregistrează evidența unei flux în interiorul căruia se prelucrează date cu caracter personal, în speță email. Prin acest mod de lucru trebuie să fie definite toate fluxurile din organizație. Astfel se știu în orice moment toți pașii prin care trec datele cu caracter personal, cine are acces la ele de unde sunt obținute şi unde sunt stocate.
73
Catalog GDPR Ready
Funcționalitățile principale ale aplicației sunt:
Nomenclatoare (terminologie definită conform normelor juridice prevăzute de Regulament)
Posibilitatea de trasare a activităților de business pe baza fluxurilor de lucru
Export electronic în format PDF
Vizualizare grafică a fluxurilor de lucru
Validări/atenționări
Roluri multiple
Nomenclatoare - Aplicația dă posibilitatea înregistrării la nivel de organizație a componentelor ce formează unul sau mai multe fluxuri de lucru. Aceste nomenclatoare vin precompletate cu termeni prevăzuți în regulamentul oficial (precum scopuri de prelucrare, tipuri de date cu caracter personal, modalități de informare a persoanelor vizate despre prelucrarea datelor cu caracter personal) la care se pot adăuga elemente specifice organizației care își definește fluxul, cum ar fi un sistem propriu, un asociat, un împuternicit sau un proces. Posibilitatea de trasare a activităților de business pe baza fluxurilor de lucru - Cu ajutorul acestei funcționalități sunt definite efectiv fluxurile. Practic aici se face maparea componentelor definite în nomenclatoare, care puse cap la cap asigură transpunerea acțiunilor de business în aplicație. Export electronic în format PDF - Fluxurile definite se pot exporta în format PDF. Acestea se pot printa și pot fi servite în cazul unui control sau în cazul în care cineva se simte mai confortabil să le vizualizeze în format fizic. Vizualizare grafică a fluxurilor de lucru - Activitățile de business se pot reprezenta și într-o formă grafică. Astfel se generează o diagramă ce conține elementele adăugate în nomenclatoare și legate între ele conform fluxurilor de lucru.
74
Catalog GDPR Ready
Aliniere la Regulament cu DataKlas GDPR Consultant GDPR
REGISTRUL GDPR
DPIA
PORTAL DREPTURI UTILIZATORI
Evaluare inițială
Generare Registru de prelucrări
Implementare măsuri de protecție a datelor
Drepturile utilizatorilor
Analiza GDPR Art: 5, 24 Considerente: 39, 74-77
Art: 6, 15, 24,30, 32 Considerente: 63, 64, 74-77, 82, 83
Art 25, 35, 36 Considerente: 78, 84, 89-96
Art 24, 28, 29, 46 Considerente: 74-77, 81, 108, 109
Gestionare consimțăminte
Art 7, 21 Considerente: 32, 33, 42, 43, 58, 69, 70
REGISTRUL DE INCIDENTE
Implementarea procedurilor de notificare a incidentelor Art. 33, 34 Considerente: 85-88
Validări/atenționări - Aplicația generează o serie de atenționări și erori care ajută la scoaterea în evidență a anumitor elemente ce nu sunt în concordanță cu regulamentul GDPR. Roluri multiple - Sistemul pune la dispoziție configurarea utilizatorilor pe bază de roluri. Astfel se poate specifica cine este administrator (DPO) și acesta poate aproba un flux adăugat de către un alt utilizator care are dreptul doar la proiectele de marketing, de exemplu. „Pentru FIDASmart, DataKlas GDPR înseamnă transpunerea principiilor legislative într-o soluție IT care îți permite să gestionezi și să protejezi datele clienților și, în același timp, să ai controlul activităților pe care le realizezi cu aceste informații. Platforma DataKlas GDPR este creată pe elemente concrete legislative și reprezintă o sinteză practică a zeci de pagini din Regulament, structurate în nomenclatoare și registre care ne ușurează activitatea de consultanță. Datorită șabloanelor predefinite și sistemelor de alertare activitatea administrativă se reduce, iar noi, ca avocați, putem să alocam cu 50% mai mult timp pentru analiza prelucrărilor care au loc la nivel de client și pentru a ne asigura că întreaga afacere este pregătită pentru intrarea în vigoare a GDPR. Pentru a fi un partener credibil pentru toți clienții tăi, trebuie să respecți datele și informațiile pe care ți le încredințează. Recomandam DataKlas GDPR pentru siguranța, securitatea și unicitatea pe care o aduce în piața românească. Este un pachet cu adevărat complet de instrumente care ajută companiile să se alinieze la prevederile Regulamentului UE privind protecția datelor cu caracter personal (2016/679).” Selena Stan, Partener FIDASmart
Forum center - Bucureştii Noi 25A, România, Bucureşti, 012352 Telefon: +4.0372.30.70.60 / dkgdpr@htss.ro / www.dkgdpr.ro 75
Catalog GDPR Ready
BINBOX şi AzureStack primul pas pentru implementarea normelor GDPR în infrastructura ta IT Toate produsele şi serviciile Binbox furnizate prin platforma AzureStack beneficiază de protocoale şi mecanisme mature de clasificare şi protecţie a datelor cu caracter personal.
76
Catalog GDPR Ready
Microsoft a pregătit din timp alinierea produselor disponibile în MarketPlace AzureStack la reglementările europene, iar BINBOX livrează deja servicii conforme cu normele GDPR.
Rapoartele disponibile în interfaţa de administrare prezintă informaţii despre datele cu caracter personal colectate, utilizarea şi amprenta lor în sistemul informatic, precum şi acces rapid şi sigur la funcţii de eliminare a acestora.
Contact: Tel.: +40 37 860 0000 contact@azurestack.ro 77
Catalog GDPR Ready
360 Data Management pentru GDPR Conformarea cu GDPR este o provocare a proceselor de afaceri iar tehnologia va avea un rol foarte important pentru a face faţă acestor provocări – Veritas a identificat zonele unde poate ajuta iar apoi a mapat capabilităţile soluţiilor din portofoliu la cerinţele specifice ce decurg din GDPR. Aceste zone sunt împărţite în 5 categorii principale: LOCALIZARE – Descoperiți datele personale și faceți-le vizibile. CĂUTARE – Faceți ca datele personale să poată fi căutate/găsite. MINIMIZARE – Păstrați doar informațiile de care aveți nevoie și asigurați controlul datelor personale. PROTEJARE – Protejați datele personale împotriva pierderilor, atacurilor și breșelor de securitate. MONITORIZARE – Asigurați respectarea continuă a standardelor GDPR.
LOCALIZARE – Descoperiți datele personale și faceți-le vizibile Primul pas, considerat critic pentru o organizație sau companie, este și cel mai important pentru conformarea cu GDPR. Practic, acest proces constă în capabilitatea de a obține o concepție holistică despre locul în care se află toate datele personale deținute și de a le putea identifica imediat.
78
Catalog GDPR Ready
Acest lucru poate fi făcut prin realizarea unei cartografieri a datelor, prin care să înțelegem cine are acces la acestea, cât timp sunt păstrate sau ce spațiu ocupă pe diferite sisteme de stocare și, în sfârșit, modalitatea în care sunt mutate sau copiate pe diferite platforme cu scopul de a îmbunătăți managementul acestora. Această hartă este „cheia” pentru a înțelege modul în care organizația gestionează și procesează datele personale. Toate aceste informații sunt oferite de Veritas cu ajutorul tehnologiei Veritas Data Insight și Veritas Information Map. Din acest punct de vedere, Veritas are o abordare unică, respectiv: 1. Identifică tipul fișierelor, află proprietarul, locația și vechimea acestora, în cel mult 24 ore. 2. Oferă o „poză” în timp real a mediului companiei și o monitorizare continuă. 3. Inițiază o remediere a datelor printr-un cadru integrat de acțiuni.
CĂUTARE – Căutarea datelor Rezidenții UE pot solicita acum vizibilitate în toate datele personale deținute de o organizație prin trimiterea unei solicitări de acces la subiect (Subject Access Request – SAR). De asemenea, pot solicita corectarea datelor (dacă sunt incorecte), portarea lor (folosind un format de export adecvat) sau ștergerea acestora. Asigurarea că organizația dvs. poate efectua și deservi aceste solicitări în timp util este esențială pentru evitarea sancțiunilor GDPR în baza articolelor 15,16,17,18 și 20. În acest sens, Veritas are o soluţie lider de piață numită Veritas eDiscovery Platform. Această soluție dispune de un motor puternic de căutare și indexare permițând descoperirea atributelor și proprietăților datelor personale, punând la dispoziție și un mecanism inteligent de învățare cu scopul de a identifica automat articolele relevante și elementele similare pentru o examinare detaliată ulterioară. De asemenea, soluția oferă și un flux de lucru integrat pentru procese de analiză și verificare fără a mai fi nevoie de operațiuni suplimentare de import sau export a datelor.
MINIMIZARE – Păstrarea informațiilor de care avem nevoie şi asigurarea controlului datelor personale Micșorarea volumului de date stocat de către companii, una dintre principalele reguli ale GDPR, este concepută pentru a se asigura că organizațiile reduc cantitatea totală de date cu caracter personal stocate pe diferite tipuri de echipamente. Acest lucru se realizează numai prin păstrarea datelor cu caracter personal pentru o perioadă de timp, direct legată de scopul propus inițial. Implementarea și aplicarea politicilor de retenție, care expiră în mod automat datele, stabilesc piatra de temelie a strategiei GDPR. Prin soluțiile Enterprise Vault şi Enterprise Vault.Cloud, compania Veritas oferă inclusiv posibilitatea de clasificare completă în funcție de conținut şi context, putând să eticheteze automat fișierele şi mesajele de email care conțin date personale și să controleze astfel procesul de retenție până la nivel de element. Odată făcută etichetarea, va fi ușor să găsiți date cu caracter personal utilizând instrumentele puse la dispoziție de Veritas.
79
Catalog GDPR Ready
PROTEJARE – Protejați datele personale împotriva pierderilor, atacurilor și breșelor de securitate Organizațiile au obligația generală de a pune în aplicare o serie de măsuri tehnice și organizatorice pentru a arăta că au luat în considerare protecția datelor în toate activitățile de colectare și prelucrare a datelor personale. Indiferent dacă se desfășoară activități de formare a personalului, se efectuează audituri interne ale activităților de prelucrare sau catalogarea documentației relevante privind activitățile de prelucrare, organizațiile trebuie să fie pe deplin pregătite să demonstreze transparența în ceea ce privește validarea conformității cu GDPR. Aceasta înseamnă că este mai important decât oricând să revizuim procesele de protecție și de securitate a datelor și să ne asigurăm că îndeplinim aceste cerințe stricte de recuperare, disponibilitate și prevenire (și notificare). Veritas oferă o serie de soluții cum ar fi NetBackup, Data Insight, InfoScale, Resiliency Platform sau Access, prin intermediul cărora se asigură o protecție excelentă a datelor și aplicațiilor în mediile enterprise și nu numai, pe platforme independente de sisteme de operare (Windows, Linux, Unix), folosind inclusiv capabilități de integrare cu o gamă extinsă de furnizori de servicii de cloud.
MONITORIZARE – Asigurați respectarea continuă a standardelor GDPR Regulamentul GDPR obligă toate organizațiile să raporteze anumite tipuri de încălcări ale securității datelor în cadrul autorității de supraveghere competente și, în anumite cazuri, să prezinte aceste aspecte persoanelor care au fost afectate de încălcarea menționată anterior. Ca urmare a acestei obligații, companiile trebuie să își evalueze capacitatea de monitorizare a activităților de contravenție și să declanșeze imediat procedurile pentru asigurarea conformității cu GDPR. Veritas pune la dispoziție soluții consacrate cum ar fi Data Insight și Enterprise Vault care oferă posibilitatea de a căuta foarte rapid în datele personale (date nestructurate, email, servere de fișiere, SharePoint, etc.) cu scopul de a permite investigatorilor să analizeze și să identifice fișierele ce prezintă riscuri sau anumite comportamente anormale ale utilizatorilor și apoi, să remedieze aceste probleme printr-un singur click. Pentru o analiză și mai amănunțită, imediat după declanșarea riscului, se pot activa politici de retenție la nivelul acestor fișiere. Experții de la Veritas Advisory Services se angajează îndeaproape cu fiecare client pentru a realiza o evaluare cuprinzătoare a mediului existent cu scopul de a ajuta companiile să înțeleagă mai bine maturitatea la care s-a ajuns din punct de vedere GDPR.
80