Noul regulament privind protecţia datelor cu caracter personal (general data protection regulation - GDPR) obligă companiile să analizeze ce date cu caracter personal utilizează şi cum, a declarat Roxana Ionescu, partener, head of data protection în cadrul casei de avocatură NNDKP.
“Regulamentul nu schimbă principiile de gestionare a datelor cu caracter personal. Asta asigură o continuitate la nivelul companiilor care se ocupă cu acest lucru. Ceea ce se schimbă este accentul pus pe transparenţă, atât în intern, cât şi în raport cu persoanele ale căror date sunt folosite. În ceea ce priveşte transparenţa externă, sunt deja multe mecanisme implementate, clauze în contracte de muncă, politici de confidenţialitate pe site, ceea ce se schimbă cu adevărat prin acest regulament este faptul că se pune foarte mult accent pe transparenţă la nivelul intern al organizaţiilor. Se vorbeşte de evidenţa prelucărilor de date - acest instrument forţează puţin organizaţia să se întrebe care sunt datele pe care le folosesc, cum le folosesc şamd. Dacă vorbim de profilare, pe partea de prelucrări în scop de publicitate comportamentală, dacă vorbim de sisteme prin care se urmăreşte comportamentul angajaţilor, trebuie să înţelegi de ce faci acest lucru ca să poţi explica modul de conformare cu cerinţele generale în domeniu”, a spus Roxana Ionescu în cadrul conferinţei ZF “Patru luni până la şocul GDPR”.
Ce a mai declarat Roxana Ionescu în cadrul conferinţei ZF:
- Din momentul în care începi procesul, din momentul în care iei o nouă aplicaţie, se pune problema, cum faci asta prin această aplicaţie, cum te conformezi principiilor.
Discuţia începe de la ce date folosesc, ce destinatar am pentru fiecare flux de date. Dacă poţi să clarifici scopul, poţi urmări aplicarea cerinţelor pe regulament foarte simplu. Dacă poţi răspunde la întrebarea „de ce colectezi anumite date”, iar răspunsul este „pentru că am obligaţia legală să fac asta”, deja ai identificat temeiul pentru acea prelucrare din cele recunoscute limitativ de regulament. Trebuie să ştii care sunt datele. Când iei o aplicaţie nouă, primul răspuns este ce date preconfigurezi şi cine va avea acces la aceste date, diferenţa pe viitor este că în acea discuţie trebuie să iei în calcul expres şi implicaţiile pe legislaţia privind protecţia datelor.
- Îndrumarea din partea autorităţii este foarte utilă. În prezent există mai multe decizii care reflectă perspectiva autorităţii, cum ar fi supravegherea video la locul de muncă, înregistrările video, prelucrarea codului numeric personal (CNP-ului), unde avem regula că se poate realiza prelucrarea dacă există obligaţie legală expresă sau dacă se obţine consimţământul. Dar în practică nu întotdeauna există o prevedere legală atât de expresă încât să poţi indica facil prevederea. Lumea folosea consimţământul, dar este o abordare forţată. Consimţământul poate fi retras, şi în prezent, dar şi pe Regulament (care prevede acest lucru expres).
- Acum 2 săptămâni am înţeles că Germania şi Austria stau relativ bine cu implementarea măsurilor din Regulament, alte state trebuie să grăbească implementarea. Acest lucru este explicabil având în vedere că multe din instituţiile noi pentru România (de ex., responsabilul de protecţia datelor, evaluarea impactului asupra protecţiei datelor, etc.) sunt stabilite deja într-o formă sau alta în legislaţia curentă a acestor state, dar la noi nu există.
- Cum ar putea fizic un singur individ - DPO - să asigure conformarea la regulament zi de zi? Responsabilul cu protecţia datelor (DPO) este responsabil să îndrume organizaţia în efortul de conformare, dar nu trebuie pierdut din vedere că asigurarea conformării de zi cu zi trebuie să revină echipelor care chiar realizează activitităţile de prelucrare. Poţi să identifici zone sensibile unde ai mai multe echipe, dacă un om primeşte 30 de solicitări în aceaşi zi cu privire la mai multe proiecte, trebuie gândit cu măsură şi stabilit responsabilităţi pe echipe.
- În funcţie de scopul pentru care prelucrezi datele, ajungi să ai un răspuns diferit pentru aceeaşi întrebare legală. Frumuseţea Regulamentului este că permite flexibilitate. Trebie să îţi asumi responsabilitatea explicării opţiunilor pe care le-ai înţeles, dacă te întreabă persoana, dacă te întreabă autoritatea, dacă eşti întrebat în cazul unei fuziuni sau achiziţii. Poţi pierde oportunităţi fenomenale dacă nu urmăreşti aceste elemente de la început.
- În toate proiectele pe care le-am făcut încurajăm dialogul cu fiecare echipă în parte, mai ales unde sunt 20 sau mai multe departamente. Când faci această analiză, nu pleci de la prezumţia că trebuie schimbat modul de lucru la 180 de grade. Pe multe paliere lucrurile se întâmplă în mod corect. Trebuie să te gândeşti: ai informat persoanele vizate, dacă da, care este canalul, pentru a discuta cu ei. În ceea ce priveşte temeiul prelucrării, în prezent din inerţie toată lumea merge pe acord, deşi legislaţia recunoaşte şi alte temeiuri (de ex., obligaţia legală, executarea unui contract). De exemplu, în prezent dacă participi la o campanie promoţională, regulamentul campaniei precizează că prin participare eşti de acord cu prelucrarea datelor. Dar, în realitate, temeiul este executarea contractului.
- Acordul pentru prelucrarea datelor angajaţilor nu prea funcţionează în practică, este greu de crezut că este liber exprimat, iar aceasta este o condiţie esenţială a unui acord valabil. Dacă ai o campanie organizată prin care vrei să apară angajaţi într-un clip pe site ca să spună cât de minunat este în acea societate, acolo poţi discuta despre un acord valabil, pentru că implicarea în asemenea campanii este voluntară. Dacă identifici temeiul, îţi dai seama dacă efortul de conformare este unul relativ rezonabil, sau trebuie să reobţii consimţământul. Chiar dacă canalele sunt aceleaşi, oamenii reacţionează într-un fel dacă dai sms sau mail, şi altfel dacă îi contactezi direct. În această analliză, mi se pare important să fie implicată atât partea operaţională, această echipă putând să dea un răspuns privind temeiul prelucrării, dar şi oamenii din zona tehnică, pentru că orice decizie operaţională se reflectă în configurarea aplicaţiei, în metadatele prelucrate.
Într-un fel analizezi elementele ce ţin de clienţi, alt flux poate fi cel privind prelucrarea datelor angajaţilor, unde sunt mai facile canalele de comunicare, gestionezi altfel partea de contracte. În efortul de conformare cu Regulamentul, eu sugerez întotdeauna să fie identificate mai multe fluxuri relevante ce pot fi apoi gestionate în paralel.
- Dreptul de ştergere - să nu uităm că nu este un drept care se aplică atunci când există încă contracte în derulare, se aplică în situaţii în care scopul prelucrării s-a epuizat, perioada de stocare stabilită de operator a încetat, dar din anumite considerente nu a şters datele. Drepturile chiar sunt echilibrate, dar este important să înţelegi limitele stabilite prin Regulament pentru exercitarea lor şi analizarea aplicării acestor limite în practică. Persoanele care gestionează solicitările de ştergere - că e vorba de juridic, resurse umane - aici chiar e libertate în a stabili rolul - oamenii trebuie antrenaţi pentru a înţelege cum trebuie gestionate. Orice proiect de implementare trebuie să ia în calcul şi formarea echipelor, trebuie explicat oamenilor nu numai ce reguli trebuie să aplice, ci de unde vin acestea şi ce urmăresc. Numai aşa se poate vorbi de o conformare efectivă în viitor.
- În anumite situaţii, e posibil ca obligaţiile de notificare a unor incidente de securitate ce afectează datele să fie impuse prin mai multe acte normative, respectiv să fie nevoie să discutaţi despre un incident atât cu Autoritatea de supraveghere în domeniul protecţiei datelor cu caracter personal, dar şi cu autorităţile ce emit licenţele sau autorizaţiile de funcţionare. Gestionarea unui incident porneşte de la notificarea internă a incidentului de securitate, pentru că atunci se face analiza şi vedem dacă el cade sub umbrela Directivei NIS sau sub Regulamentul privind protecţia datelor. Vestea proastă este că analiza trebuie făcută în primele 72 de ore de la descoperirea incidentului. Trebuie să ai structura potrivită şi roluri prestabilite pentru a putea gestiona incidentul. Primul lucru care trebuie definit este cine face ce pentru că nu ai timp să stabileşti atunci, pe loc.
- Ar trebui să faci ceea ce spui (de ex., să te asiguri că informezi corect şi complet persoana) pentru că persoana poate semnala la autoritate şi ajungi să iei două amenzi de la autoritate. Nu trebuie neapărat să trimiţi dovada clientului, dar dacă vine cineva să controleze, trebuie să poată fi puse la dispoziţie detaliile necesare.
- Evidenţa prelucrărilor va trebui ţinută de acum pentru toate operaţiunile de prelucrare. În cazul unui incident, în funcţie de gravitate, de măsurile luate de operator pentru a diminua incidentul de securitate este greu să spui din start dacă autoritatea se va duce şi aplică instant sancţiune sau merge după ce va primi notificarea, dar se va concentra mai întâi dacă s-au luat toate măsurile de protecţie, a gestionat correct incidental, etc. Chiar dacă va fi notificat în termen legal, chiar dacă vor fi luate toate măsurile considerate necesare, este de aşteptat că autoritatea va face un control şi de la caz la caz va aplica sau nu o sancţiune.
