Încă înainte de adoptarea Regulamentului General privind Protecţia Datelor (nr. 679/2016) în aprilie 2016, toţi actorii de pe piaţă ştiau deja că acesta va duce la schimbarea modului de raportare al societăţilor în domeniu.
› Poate societatea să răspundă exigenţelor crescute cu privire la confidenţialitatea şi securitatea datelor?
Regulamentul nu reprezintă un cadru de reglementare complet nou în domeniul protecţiei datelor cu caracter personal, dar introduce suficiente modificări cât să facă efortul de conformare una din priorităţile conducerii societăţilor din toate industriile. Intrat în vigoare pe 24 mai 2016 şi aplicabil din 25 mai 2018, Regulamentul acordă un timp relativ redus pentru asigurarea efortului de adaptare a modului de funcţionare al societăţilor la modificările introduse.
Prima modificare care atrage atenţia este cea privind sancţiunile: raportat la cuantumul sancţiunilor prevăzute în prezent de legislaţia din România, vedem o trecere de la aproximativ 22.000 de euro la sancţiunile de până la 20 de milioane de euro sau 4% din cifra de afaceri globală.
Dar ceea ce preocupă sau ar trebui să preocupe conducerea societăţilor nu este numai cuantumul amenzilor prevăzute de Regulament, ci impactul pe care adaptarea la noile reguli îl va avea atât asupra modului de funcţionare intern al organizaţiei, cât şi asupra tehnologiilor şi aplicaţiilor folosite pentru desfăşurarea activităţilor.
În era digitală, când nu există proces care să nu fie susţinut de aplicaţii şi când utilizarea celor mai noi tehnologii poate fi un avantaj concurenţial, Regulamentul impune conducerii societăţilor să analizeze aceste soluţii nu numai din perspectiva financiară şi tehnică, ci şi raportat la cum aceste aplicaţii şi tehnologii pot asigura respectarea cerinţelor în domeniul protecţiei datelor.
Dar de ce spunem că Regulamentul trebuie să fie o preocupare la nivelul conducerii? Nu o spunem noi, o spune chiar Regulamentul. Unele din cele mai importante modificări sunt menite să responsabilizeze conducerea în ceea ce priveşte efortul de conformare cu cerinţele de protecţie a datelor. Astfel, Regulamentul introduce cerinţa expresă ca societatea care utilizează date în desfăşurarea activităţilor sale să poată demonstra respectarea principiilor generale în domeniu.
Mai mult, Regulamentul impune în anumite cazuri desemnarea unui responsabil cu protecţia datelor. De ex., acest lucru va fi obligatoriu acolo unde societatea derulează activităţi de monitorizare periodică şi sistematică a persoanelor fizice pe scară largă sau când sunt prelucrate categorii de date sensibile, cum ar fi datele de sănătate. Această obligaţie revine şi autorităţilor publice care utilizează date cu caracter personal în desfăşurarea activităţilor lor (chiar dacă o fac în temeiul unor prevederi legale!).
Acest responsabil are un rol de îndrumare şi control al modului în care se asigură protecţia datelor la nivelul organizaţiilor, inclusiv prin cerinţa de a raporta direct către cel mai înalt nivel de conducere al societăţii. Dar asigurarea respectării cerinţelor în domeniu zi de zi revine conducerii societăţii, respectiv persoanelor din cadrul organizaţiei care stabilesc scopul şi mijloacele pentru fiecare operaţiune de prelucrare a datelor în parte. Acest lucru rezultă cu claritate din îndrumarea emisă de Grupul de Lucru Articolul 29 pe marginea rolului responsabilului cu protecţia datelor (în forma revizuită în aprilie 2017). În această îndrumare, se subliniază clar că decizia finală privind abordarea în cazul unor prelucrări este stabilită de conducerea societăţii, dar că aceasta trebuie să asculte opinia responsabilului cu protecţia datelor, chiar dacă în final optează să nu ţină cont de recomandările acestuia.
Dacă principiul responsabilităţii şi responsabilul cu protecţia datelor oferă contextul efortului de conformare, care sunt unele din cerinţele concrete la care directorul general trebuie să se asigure că are răspuns:
› Poate societatea să detalieze în orice moment ce date sunt prelucrate şi pentru ce scopuri?
Regulamentul impune obligaţia menţinerii la nivel intern a unei evidenţe a prelucrărilor, respectiv detalierea fiecărui scop de prelucrare (utilizare, vizualizare, combinare, etc. a datelor). Această nouă obligaţie va reveni majorităţii operatorilor şi este menită să înlocuiască obligaţia curentă de a notifica autoritatea de supraveghere privind operaţiunile de prelucrare. Crearea acestei evidenţe este cu atât mai problematică în România cu cât obligaţia notificării prelucrărilor la autoritatea de supraveghere reprezintă în prezent excepţia, iar nu regula, astfel încât la nivelul organizaţiilor sunt nenumărate operaţiuni de prelucrare care nu sunt complet documentate. Acest lucru este demonstrat de efortul întreprins în prezent de societăţi din multe industrii, inclusiv bancar, asigurări, farma, etc. de a crea această mapare a datelor. Ulterior realizării acestei mapări, provocarea este de a păstra informaţiile actualizate în permanenţă.
Există soluţii de clasificare a datelor cu caracter personal, soluţii care identifică tipurile de date (email, nume, prenume, cookie-uri, adrese IP, informaţii cu caracter genetic sau medical, date legate de contul bancar, etc) şi care le clasifică în functie de nivelul de senzitivitate, contextul utilizării, determină cine este administratorul acelor date, cine are acces la ele şi cum evoluează în timp acest sistem de drepturi şi obligaţii. Administrarea şi clasificarea acestor date se efectuează sub umbrela conceptului de Information Protection.
Enterprise Mobility + Security (EMS)
Azure Information Protection te poate ajuta să clasifici şi să etichetezi datele în momentul creării sau modificării. Apoi, asupra datelor sensibile se pot aplica protecţii (criptare plus autentificare, plus drepturi de utilizare) sau marcaje vizuale. Etichetele de clasificare şi protecţiile sunt permanente, însoţind datele pentru a putea fi identificate şi protejate în permanenţă – indiferent unde sunt stocate sau cu cine sunt partajate.
Office şi Office 365
Prevenirea pierderii datelor (DLP) din Office şi Office 365 poate identifica peste 80 de tipuri comune de date sensibile inclusiv date financiare, date medicale şi informaţii de identificare personală. În plus, DLP permite organizaţiilor să configureze măsurile care vor fi luate după identificare pentru a proteja informaţiile sensibile şi pentru a preveni dezvăluirea accidentală.
Azure
Recomandam acest material despre clasificarea datelor, fiind unul extrem de apreciat în comunităţile interesate de GDPR şi credem că vă va fi util şi dvs. https://gallery.technet.microsoft.com/Data-Classification-for-51252f03
› Poate societatea să indice în orice moment unde se află datele pe care le utilizează, fie ele date ale clienţilor, ale angajaţilor sau ale altor tipuri de persoane fizice?
Evidenţa prelucrărilor trebuie să includă detalii privind unde sunt transferate datele. Mai mult, dacă datele sunt transferate către ţări din afara UE/SEE ce nu asigură un nivel de protecţie adecvat, societatea trebuie să se asigure că a implementat garanţii pentru protecţia datelor. Aceste garanţii pot lua diverse forme, de la contracte încheiate pe baza unor standarde aprobate de Comisia Europeană, la certificări privind măsurile tehnice implementate de entităţile ce primesc datele, la reguli corporatiste obligatorii verificate şi aprobate de autorităţile de supraveghere (aşa-numitele Binding Corporate Rules). Dacă societăţile pot, de regulă, să identifice aceste informaţii în ceea ce priveşte datele stocate pe serverele proprii, lucrurile se complică atunci când sunt folosiţi prestatori de servicii care asistă în desfăşurarea operaţiunilor de prelucrare.
Metodologia de identificare a tuturor surselor de date, dar si a mediilor de stocare se face cu solutii de tip Data Catalog sau Data Classification Toolkit din sistemele moderne de operare pentru servere, iar capabilităţile acestor instrumente de lucru merg până la a genera rapoarte care fac trasabilă orice acţiune de căutare şi identificare, fapt obligatoriu în contextul GDPR.
Pentru a sprijini strategia de guvernare a datelor, serviciile cloud Microsoft sunt dezvoltate prin metodologiile Microsoft Privacy-by-Design şi Privacy-by-Default. Atunci când îţi încredinţezi datele către Azure, Office 365 sau Dynamics 365, rămâi unicul proprietar: reţii dreptul, titlul şi interesul pentru datele stocate în servicii.
Serviciile cloud Microsoft iau măsuri solide pentru a te ajuta să protejezi datele clienţilor împotriva accesului inadecvat sau a utilizării de către persoane neautorizate, după cum se detaliază în Centrul de autorizare Microsoft. Aceste măsuri includ restricţionarea accesului de către personalul şi subcontractorii Microsoft şi definirea atentă a cerinţelor pentru a răspunde la solicitarea datelor clienţilor de către instituţiile guvernamentale. Totuşi, poţi să accesezi datele propriilor clienţi în orice moment şi cu orice motiv.
În plus, redirecţionăm solicitările de date ale instituţiilor guvernamentale pentru a ţi se adresa direct, în afara cazului în care acest lucru este interzis prin lege şi am contestat pe cale oficială încercările instituţiilor guvernamentale de a interzice dezvăluirea unor astfel de solicitări.
Pentru a ne asigura că serviciile cloud Microsoft sunt gestionate corect şi pentru a furniza asigurări clienţilor, serviciile cloud sunt auditate cel puţin anual în baza câtorva standarde globale de confidenţialitate a datelor, inclusiv HIPAA şi HITECH, CSA Star Registry şi câteva standarde ISO. Aceste rapoarte pot fi accesate la adresa –
https://servicetrust.microsoft.com/Documents/ComplianceReports.
Mai multe informaţii în legătură cu reglementările GDPR se regăsesc aici.
› Poate societatea să răspundă în termenul legal la solicitările persoanelor de acces la date? Dar la solicitările de ştergere sau modificare a datelor?
Regulamentul pune un accent deosebit pe drepturile persoanelor vizate. Multe din aceste drepturi (de acces, de ştergere sau de modificare) există şi conform legislaţiei actuale încă din decembrie 2001, când a intrat în vigoare Legea nr 677/2001. Dar odată cu creşterea sancţiunilor, a crescut şi importanţa asigurării unor mecanisme organizatorice şi, mai ales, tehnice, pentru asigurarea implementării corecte şi complete a acestor drepturi. Societăţile nu trebuie să piardă din vedere că cerinţele aferente drepturilor menţionate mai sus trebuie să fie implementate atât în ceea ce priveşte datele din aplicaţiile active, cât şi din sisteme şi aplicaţii ce nu mai sunt folosite în prezent, dar care sunt păstrate pentru evidenţă, îndeplinirea obligaţiilor de arhivare şi alte motive legitime (aşa-numitele sisteme „legacy”). Mai mult, societatea trebuie să fie în măsură să poată demonstra realizarea acestor modificări în cazul unui control sau litigiu.
Este extrem de complicat să adresezi aceste cerinţe GDPR fără instrumentele de tehnologie adecvate, fie că vorbim de infrastructuri fizice, virtuale, medii hibride de stocare a datelor. Orice administrator IT va trebui să îşi servească organizaţia din care face parte, însă nu o poate face fără uneltele de lucru care să îi permită un nivel sporit de transparenţă şi securitate, fie că discutăm de serviciul de mesagerie electronică, serviciul director, baze de date, sisteme integrate de comunicaţie sau diverse aplicaţii, mai mult sau mai puţin actuale. Într-adevăr, printre cele mai semnificative elemente ale GDPR se află drepturile „subiecţilor datelor” stipulate în Articole în Secţiunea 2: Informaţii şi acces la date, Secţiunea 3: Rectificarea şi ştergerea şi Secţiunea 4: Dreptul de a obiecta şi luarea automată a deciziilor în mod individual. Instrumentele de guvernanţă a datelor sunt critice în a satisface aceste cerinţe.
Soluţiile Office 365 au câteva caracteristici care te ajută să gestionezi datele cu caracter personal:
• Caracteristicile de guvernare a datelor din Centrul de securitate şi conformitate Office 365 te ajută să arhivezi şi să păstrezi conţinut în cutii poştale Exchange Online, site-uri SharePoint Online şi locaţii din OneDrive pentru business şi să imporţi date în organizaţia ta din Office 365.
• Caracteristica Reţinere din Office 365 te poate ajuta să gestionezi ciclul de viaţă al e-mailului şi documentelor păstrând conţinutul de care ai nevoie şi eliminând conţinutul după ce nu mai este necesar.
• Guvernarea avansată a datelor utilizează informaţii şi perspective asistate de computer pentru a te ajuta să găseşti, să clasifici, să stabileşti politici şi să iei măsuri pentru a gestiona ciclul de viaţă al datelor care sunt cele mai importante pentru organizaţie.
• Politicile de gestionare a informaţiilor din SharePoint Online îţi permit să controlezi cât de mult este reţinut conţinutul, pentru a verifica ce fac persoanele cu conţinutul şi pentru a adăuga coduri de bare sau etichete la documente.
• Jurnalizarea din Exchange Online te poate ajuta să îndeplineşti cerinţe de conformitate juridică, de reglementare şi organizaţională prin înregistrarea comunicaţiilor prin e-mail.
Regulamentul introduce şi drepturi noi, cum ar fi dreptul la portabilitatea datelor şi la restricţionarea prelucrării. Portabilitatea constă în dreptul persoanei de a primi datele personale care o privesc şi pe care le-a furnizat în format electronic în vederea executării unui contract sau în baza consimţământului într-un format structurat, utilizat în mod curent şi care poate fi citit automat, precum şi de a cere transmiterea acestor date altui operator. Restricţionarea impune adaptarea sistemelor operatorului pentru a permite suspendarea prelucrării în anumite cazuri, cum ar fi atunci când persoana contestă exactitatea datelor deţinute de operator. Conducerea societăţii este obligată să se asigure că aplicaţiile şi sistemele folosite pentru prelucrare pot răspunde acestor cerinţe, atunci când acestea devin aplicabile.
› Poate societatea să răspundă exigenţelor crescute cu privire la confidenţialitatea şi securitatea datelor?
Pentru alte știri, analize, articole și informații din business în timp real urmărește Ziarul Financiar pe WhatsApp Channels
