Ziua Z în securitatea datelor

Aflat în dezbatere de mai bine de doi ani, Regulamentul General de Protecţie a Datelor le dă fiori companiilor româneşti care deţin date personale ale clienţilor sau ale angajaţilor. Adică, în principiu, oricărei firme, oricât de mică. 25 mai 2018 va fi Ziua Z în care acest regulament va intra în vigoare şi în care, cel puţin teoretic, toată lumea, de la cel mai mic magazin online până la marii jucători din industria de IT, trebuie să poată demonstra că deţine mecanismele şi infrastructura pentru a asigura protecţia datelor. Cine nu se conformează intră în vârtejul sancţiunilor, care pot ajunge până la sume de ordinul milioanelor de euro.


Distribuie articolul

Regulamentul General de Protecţie a Datelor (sau în varianta originală „General Data Protection Regulation – GDPR”) reprezintă o reglementare în legislaţia europeană a protecţiei datelor pentru cetăţenii din Uniunea Europeană. Acest regulament are în vedere problema exportului de date cu caracter personal către zonele non-UE şi urmăreşte să redea cetăţenilor controlul asupra datelor personale, dar şi să simplifice mediul de business la nivelul UE, printr-un regulament general, aplicabil în toate statele membre. Este important de ştiut că, prin natura lui, acest nou regulament nu este o directivă a Uniunii Europene, astfel că nu este necesar ca statele membre să îl aplice în cadrul unei modificări legislative. Pur şi simplu trebuie să îl aplice fiecare jucător de pe piaţa de business.

Regulamentul General de Protecţie a Datelor asigură cetăţenilor dreptul de a obţine informaţii cu privire la scopul şi modul în care le sunt prelucrate datele personale, exprimând în mod explicit deja faimosul „drept de a fi uitat”

Regulamentul este aplicabil tuturor entităţilor care colectează sau procesează pe teritoriul Uniunii Europene sau de la persoane care sunt rezidente în spaţiul UE. Potrivit Comisiei Europene, care alături de Parlamentul European a realizat acest regulament, „datele personale sunt reprezentate de orice informaţie ce priveşte un individ, fie că se referă la viaţa lui personală, profesională sau publică. Poate fi orice pornind de la nume, adresa de acasă, o poză, o adresă de mail, detalii cu privire la un cont bancar, detalii cu privire la un cont în social media, informaţii cu caracter medical sau adresa IP a computerului”.

Nu este ca şi cum GDPR cade într-o lume în care nu exista niciun regulament cu privire la securitatea datelor. În fapt, până în 25 mai este în vigoare Directiva de Protecţie a Datelor (Data Protection Directive) care însă datează din anul 1995 şi care astăzi, când informaţii personale despre fiecare dintre noi zboară în toate direcţiile, este în mod evident învechit şi mult prea permisiv cu cei care deţin şi prelucrează astfel de date. De la ei, GDPR aşteaptă schimbări în primul rând în modul în care datele sunt colectate, iar aici intră în scenă problema consimţământului cu privire la colectarea şi prelucrarea datelor în diverse scopuri.

„Organizaţiile trebuie să aplice măsuri clare şi bine proporţionate cu privire la securitatea datelor. Măsurile luate trebuie să reducă la minimum riscurile de breşe în securitatea datelor personale. În esenţă, vor fi necesare mai multe politici şi proceduri pentru organizaţii, chiar dacă multe dintre ele foloseau deja majoritatea procedurilor”, se arată într-un comunicat al ICO, organism independent din Marea Britanie, activ în sectorul securităţii informaţiilor.

Regulamentul le asigură cetăţenilor dreptul de a obţine informaţii cu privire la scopul şi modul în care le sunt prelucrate datele personale, exprimând în mod explicit deja faimosul „drept de a fi uitat”. Documentul pune accent şi pe dreptul la portabilitatea datelor ce va permite individului să-şi transfere în totalitate datele la un alt operator de date şi, astfel, să ştie mai bine unde se află şi ce se întâmplă cu datele lui personale. În instituţii şi organizaţii, de problemele legate de GDPR ar trebui să se ocupe un aşa numit DPO sau ofiţer pentru protecţia datelor.

Noul GDPR aduce în prim-plan organizarea activităţilor care ţin de protecţia datelor personale. Astfel, companiile şi instituţiile sunt obligate să acorde o atenţie mult mai mare datelor personale şi să desemneze oameni cu atribuţii speciale în acest sens. Un element-cheie în ecuaţia privind protecţia datelor personale este apariţia ofiţerului pentru protecţia datelor – DPO (Data Protection Officer), care ar trebui să îndeplinească sarcinile impuse de GDPR.

Mai multe drepturi

În cadrul GDPR există opt drepturi fundamentale pe care se pune accent, primul dintre acestea fiind dreptul de a fi informat de către organizaţia ce colectează datele, ea fiind obligată să fie complet transparentă şi să explice clar modul de utilizare a datelor.

Apoi, vom avea mai multe drepturi cu privire la accesul la datele colectate, dar şi la modul în care acestea sunt procesate. Chiar dacă o persoană şi-a dat acordul pentru a-i fi folosite datele, ea poate să ceară modificarea sau completarea lor, dacă este necesar acest lucru. Fără a fi nevoie de vreun motiv anume, cetăţenii europeni vor putea să ceară unui operator ştergerea tuturor datelor personale din toate bazele de date. La fel, se va putea opta pentru utilizarea datelor furnizate numai în anumite scopuri sau pentru mutarea lor, de la un operator la altul. În anumite situaţii, cum ar fi cercetările ştiinţifice sau activităţile de marketing, posesorii de date vor avea un cuvânt de spus în utilizarea lor şi vor putea obiecta. Nu în ultimul rând, vom putea opta pentru posibilitatea ca datelor noastre personale să nu facă obiectul unor activităţi de procesare fără intervenţie umană, prin procesare automată.

România cu încetinitorul

Aproape ca la un semn, prin luna februarie, s-a declanşat un adevărat tăvălug de conferinţe şi workshop-uri având ca temă problema GDPR. În mod evident, majoritatea companiilor româneşti vizate de GDPR nu aveau o idee prea concretă legată de ce va aduce noul regulament. Multe dintre ele nu au nici acum, cu mai puţin de o lună până la intrarea lui în vigoare.

Organizaţiile care totuşi au aflat despre GDPR au trecut la un nou set de probleme. De exemplu, potrivit regulamentului, dacă o persoană îşi părăseşte locul de muncă, ea are dreptul ca, într-un termen de trei ani, să nu mai figureze cu date personale în sistemele informatice ale societăţii. Potrivit specialiştilor în domeniu, chiar şi în cazul companiilor private, acest lucru este imposibil, deoarece avem date nestructurate în proporţie de peste 50%, ceea ce face ca procesul de identificare efectivă a tuturor datelor aferente unei persoane să fie realmente imposibil.

Reacţia întârziată a fost la toate nivelurile, iar filmele mici şi mijlocii riscă cel mai mult în aceste momente. Când deasupra capului îţi stă varianta unei amenzi echivalente cu 4% din cifra de afaceri este cât se poate de posibil să nu mai ai habar de unde trebuie apucată munca de adaptare la noul regulament. În acest sens, reprezentanţii acestor companii au cerut statului să ofere consiliere, tocmai pentru a evita un eventual moment în care micile afaceri dispar efectiv, sufocate de un şuvoi de amenzi.

„Nu există măsuri/programe de consiliere şi susţinere a IMM-urilor din România pentru implementarea Regulamentului General privind Protecţia Datelor, în condiţiile în care mai sunt trei luni până la data aplicării Regulamentului (25 mai 2018)”, se arată într-un comunicat al Consiliului Naţional al Întreprinderilor Mici şi Mijlocii din România (CNIPMMR).

De asemenea, în ciuda pleiadei de aşa-zişi experţi în domeniu, nu a existat neapărat un organism funcţional care să ajute afacerile româneşti să se orienteze prin desişul de informaţii contradictorii cu privire la GDPR.

„Nu există aceşti experţi, sunt foarte puţine firme care ştiu cu ce se mănâncă acest lucru în România. Pe urmă e foarte simplu, când am boală pe cineva, mă duc şi spun: «Ia du-te, mă, şi controlează-l p-ăla!” Hai să luăm o firmă mică, la 1 milion de euro cifra de afaceri pe an, amendă de 4% înseamnă 40.000 de euro şi l-ai închis”, a mai spus Liviu Rogojinaru, secretarul general al CNIPMMR, citat de Startup Cafe.

Nici companiile mari nu sunt lipsite de emoţii, în primul rând pentru că nivelul de date aflat în gestiune este foarte ridicat. Reprezentanţii Bosch România spun că noile regulamente vor avea un impact major nu doar în România, ci şi la nivel european.

„Este o provocare nu doar pentru România, ci pentru toate companiile din Europa. De asemenea, administraţiile publice au şi ele de lucru în această perioadă, pentru că şi ele lucrează cu date personale. Luăm foarte în serios noile regulamente care vor intra în vigoare la sfârşitul lunii mai şi lucrăm în toate diviziile din toate unităţile de business pe care le avem, astfel că aş putea să spun că suntem pe drumul cel bun şi suntem pregătiţi. Este totuşi un proces anevoios şi complex”, spune Mihai Boldijar, reprezentantul Grupului Bosch în România.

Cu toate acestea, experienţa internaţională este de ajutor în cadrul companiilor mari care, de-a lungul timpului, au fost obligate de către clienţi să aibă o atenţie deosebită în privinţa gestionării datelor personale. Astfel, acum cu GDPR la uşă, mai trebuie realizate doar modificări relativ minore.

„Avem valori şi standarde foarte înalte, pe care le aplicăm de foarte mult timp în munca noastră. Foarte multe dintre cerinţele GDPR erau deja îndeplinite de către protocoalele noastre. Trebuie să mai înţelegem anumite detalii sau să modificăm anumite protocoale pentru a corespunde cu legea, dar nu este ceva cu care nu ne-am mai întâlnit tocmai pentru că, în viziunea noastră, protecţia datelor personale era deja o muncă pe care o facem. Trebuie să schimbăm sisteme, trebuie să implicăm multă forţă de muncă în aceste modificări şi cred că pentru autorităţi este important să aibă abordarea corectă în vederea implementării acestor regulamente. Pentru cei care abia au aflat despre aceste prevederi, munca a fost aproape imposibilă, pentru că volumul este cu atât mai mare, cu cât compania este şi ea mare. Cine nu s-a ocupat de problemă din timp nu mai are ce să facă cu o lună sau două înainte. Este o provocare mai ales pentru companiile locale, care nu au neapărat o experienţă internaţională în care să se fi pus accent pe protecţia datelor”, mai spune Mihai Boldijar.

„La noi, toată lumea ţinea datele la nesfârşit, dar asta trebuie să se schimbe. Persoana trebuie să ştie pe ce perioadă îi sunt stocate
datele şi care este motivul”

Costuri şi sancţiuni

În implementarea cerinţelor GDPR, problema pare a fi una în care îţi „alegi otrava” din două variante existente. Fie pui o grămadă de bani pentru a investi în infrastructura informatică şi în procesele necesare pentru a te conforma, fie te pregăteşti pentru un calup de amenzi.

Un studiu ITIF (The Information Technology & Innovation Foundation) realizat în 2014 arăta faptul că, numai în privinţa notificării vizitatorilor cu privire la politica de utilizare a cookie-urilor, se va cheltui la nivel european o sumă de aproximativ 2 miliarde de euro, în timp ce costul mediu pentru aducerea unui site la cerinţele GDPR ar putea ajunge în jurul sumei de 1.000 de euro. Costuri apar şi din reluarea anumitor proceduri care, potrivit GDPR, trebuie să fie realizate mai temeinic. Să ne gândim doar la cazul simplu al unui business care face vânzări prin telefon şi care, potrivit noilor reguli, ar trebui să reia practic fiecare vânzare pentru a se asigura că sunt respectate toate prevederile cu privire la acordarea consimţământului.

Cine nu respectă plăteşte şi, în unele cazuri, va plăti cu toată afacerea. Potrivit noilor reglementări, sistemele informatice trebuie să poată raporta în termen de 72 de ore incidentele de pierdere a datelor cu caracter personal, iar în funcţie de magnitudinea pierderii, pot fi aplicate amenzi în cuantum de 4% din cifra globală de afaceri a societăţii respective, nu doar a entităţii acelei societăţi care a pierdut informaţiile cu caractere personal. 4% sau 20 de milioane de euro, oricare e mai mare.

În România, de aplicarea regulamentului european se va ocupa Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Astfel, ANSPDCP va deveni un fel de Consiliul Concurenţei, ei având resurse logistice şi financiare de la guvern. Această autoritate va putea face controale din proprie iniţiativă, dar va putea declanşa verificări şi pe baza unor sesizări.

 

Interviu cu Cristiana Deca, specialist în protecţia datelor, realizat de Radu Hângănuţ

 

România nu este pregătită pentru a aplica GDPR

 

Faptul că România nu e pregătită pentru a aplica GDPR aproape că nu ar fi o surpriză pentru nimeni. Cum nu prea mulţi sunt cei care deţin informaţii concrete despre felul în care va arăta mediul de business după 25 mai, au apărut în mod logic tot soiul de mituri. Am încercat să lămurim câteva situaţii concrete cu ajutorul Cristianei Deca, specialist în protecţia datelor.

SINTEZA: Ce se întâmplă cu un magazin online care, prin felul în care funcţionează, gestionează şi stochează datele personale a zeci de mii de oameni?

Cristiana Deca: Primul şi cel mai important lucru este că vor fi nevoiţi să facă o curăţenie generală în baza de date. Trebuie să vadă care sunt informaţiile de care au nevoie şi pentru care au nevoie justificată, pentru că doar acelea pot fi păstrate. Dacă este vorba despre un client care a cumpărat acum mult timp un produs şi nu a mai revenit niciodată pe site, vor trebui să decidă ce sens mai are ca acea persoană să aibă informaţiile personale în baza lor de date, având în vedere că determinarea perioadei de păstrare a datelor personale este una dintre cele mai importante prevederi ale GDPR. La noi, toată lumea ţinea datele la nesfârşit, dar asta trebuie să se schimbe. Persoana trebuie să ştie pe ce perioadă îi sunt stocate datele şi care este motivul. Nu va trebui să fie confirmată utilizarea datelor, pentru că nu tot timpul ne bazăm pe consimţământ. Sunt situaţii în care există o bază legală a prelucrării datelor, ca de exemplu faptul că, după efectuarea unei plăţi, pe o perioadă de cinci ani, trebuie să rămână informaţiile într-o bază de date.

– Să luăm cazul unui simplu magazin de cartier, unde patronul gestionează datele personale ale angajaţilor. Şi genul acesta de business-uri sunt vizate de GDPR?

– Evident. Ar trebui să îşi facă reguli interne legate de felul în care angajaţii procesează eventualele date ale clienţilor sau cum procesează angajatorul datele. Este, până la urmă, vorba despre nişte reguli de bun-simţ, pentru că este evident că un magazin de cartier nu trebuie să facă ce ar avea de făcut un mare magazin online. Magazinul de cartier va trebui să aibă, de exemplu, o anexă la contractul de muncă în care să fie precizat faptul că vor fi prelucrate datele personale în baza contractului de muncă şi că prelucrarea presupune şi transmiterea lor la anumite instituţii. Asta nu este însă ceva nou sau care să ne dea peste cap.

– Ce se întâmplă cu firmele care fac promoţii sau tombole, unde întregul proces presupune ca o persoană să îşi ofere datele personale?

– Teoretic, consimţământul se ia doar pentru operaţiunea de promoţie. Pentru alte operaţiuni, consimţământul trebuie luat separat. Consimţământul trebuie luat granulat. Lucrurile trebuie separate.

– Ce se întâmplă în cazul call centerelor?

– Consimţământul trebuie să fie valabil conform regulamentului. Adică el trebuie să fie explicit, liber şi neambiguu. Asta este foarte complicat de demonstrat, având în vedere legislaţia actuală din România. Încă nu am întâlnit cazuri în care, în astfel de situaţii, consimţământul să fie conform. Ori e prin termeni şi condiţii, ceea ce îl face să nu fie conform, ori e una din celelalte două. Oricum, primul pas ar fi să se ia consimţământul conform, chiar dacă este telefonic.

– Aveţi o opinie de specialist despre cât de pregătiţi sunt românii pentru a aplica regulile impuse de GDPR?

– Măsurile de securitate nu sunt impuse într-o anumită formă. Adică dacă eşti magazinul din colţ, nu te obligă nimeni să ai soluţii de securitate care să te coste 100.000 de euro. Trebuie să ai o soluţie de bun-simţ, cum ar fi un dulap în care ţii actele. Personal, cred că la un an după data de 25 mai vom avea o altă piaţă. Va fi o piaţă în care vor rămâne business-urile ce au reuşit să se conformeze. Va fi puţin haos în primele şase luni, dar cred că lucrurile se vor aşeza pe parcurs. Din experienţa mea, toţi clienţii pe care îi am, indiferent că sunt mari sau nu, au înţeles că GDPR este important şi că trebuie să facă ceva. Că nu fac tot de la început sau că mai sunt lucruri de rezolvat, asta se îndreaptă pe parcurs, dar într-un an vom avea o piaţă mai educată.

Distribuie articolul

Lasa un comentariu

Your email address will not be published. Required fields are marked *

*

Edițiile Sinteza
x
Aboneaza-te