GDPR – numărătoarea inversă a început anul trecut. Vezi dacă nu ești pasibil de o amendă care să te falimenteze

Cine intră sub incidența GDPR (General Data Protection Regulation)? Cam orice tip de afacere/organizație care prelucrează date cu caracter personal: instituțiile financiare, furnizorii de utilități, furnizorii de servicii medicale, comerțul electronic, chiar și dezvoltatorii de aplicații când ajung la faza de test.

GDPR (General Data Protection Regulation) este denumirea prescurtată a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).

GDPR a fost publicat în data de 25 mai 2016, iar prevederile sale trebuie puse în practică până la data de 25 mai 2018.

Să scrii un articol despre un Regulament ce conține 173 de paragrafe explicative și 99 de articole este provocator. Ce abordare să folosesc? Agile? Scrum? Waterfall? Veți concluziona la finalul acestui articol dacă am reușit să fiu agil sau am făcut subiectul scrum…

Încep cu amenzile administrative a căror valoare este considerabilă: pot ajunge până la suma de 10 milioane euro sau 2% din cifra de afaceri mondială anuală, luându-se în calcul valoarea cea mai mare (în funcție de natura, gravitatea și durata încălcării) sau, în unele cazuri, chiar până la suma de 20 de milioane euro, sau 4% din cifra de afaceri mondială anuală, luându-se în calcul valoarea cea mai mare (ex. încălcarea cerințelor referitoare la transferurile internaționale sau principiilor de bază pentru prelucrare, cum ar fi condițiile de consimțământ).

Schimbările aduse de GDPR

Nu mi-am propus să fac un inventar al tuturor modificărilor, pentru că nu permite spațiul unui singur articol, ci doar o evidențiere a celor mai importante dintre acestea. De la început trebuie să știm că GDPR spune „ce” trebuie făcut, fără nici o detaliere/explicație despre „cum” trebuie făcute lucrurile: nimic despre instrumente/soluții tehnice, procese, standarde sau modele.

1. Redefinirea datelor cu caracter personal

„orice informații privind o persoană fizică identificată sau identificabilă («persoana vizată»); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;”

Definiția de mai sus este neutră din punct de vedere tehnologic: nu contează cum sunt prelucrate datele, nici unde/pe ce sunt stocate. Astfel, pe lângă clasicul CNP, devin date cu caracter personal numărul cardului bancar, extrasul de cont, fișele medicale, fotografia persoanei, numărul de telefon, adresa de email, numărul de înmatriculare al autoturismului și chiar adresa IP sau adresa MAC sau IMEI-ul telefonului.

2. Asigurarea protecției datelor începând cu momentul conceperii (security by design) și în mod implicit (security by default) (Art. 25)

3. Desemnarea unui responsabil cu securitatea datelor (Art. 37-39, vezi Figura 1)

4. Evaluarea impactului asupra protecției datelor (Art. 35)

5. Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal în maximum 72 de ore (Art. 33)

6. Evidențele activităților de prelucrare (Art. 30) 

Nu se aplică unei întreprinderi sau organizații cu mai puțin de 250 de angajați, cu excepția cazului în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date.

Regulamentul stabilește în mod explicit că managementul este responsabil de punerea în aplicare a unor măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc și se actualizează dacă este necesar (Art. 24, vezi Figura 2):

Figura 2

Măsurile tehnice și organizatorice prin care se asigură securitatea datelor cu caracter personal sunt de fapt cuprinse într-un număr de 6 principii pe care managementul operatorului trebuie să demonstreze că le respectă (vezi Figura 3)

Figura 3: cele 6 principii pe care managementul operatorului trebuie să demonstreze că le respectă

De unde începem proiectul pentru asigurarea conformității?

Asigurarea conformității cu cerințele GDPR ar trebui abordată ca orice alt proiect. Consider ca fiind importante 3 etape (vezi și Figura 4):

Figura 4: cele 3 etape importante pentru asigurarea conformității cu cerințele GDPR

1. Evaluarea inițială – în această etapă ar trebui să se identifice starea actuală a organizației prin raportare la cerințele de natură organizatorică/procedurale ale Regulamentului. Poate fi asimilată unei „analize a decalajelor” (gap analysis sau readiness assessment). Rezultatul acestei analize ar trebui să îmbrace forma proceselor, politicilor, procedurilor pe care organizația trebuie să le dezvolte.

Evaluarea inițială ar trebui să acopere aspecte precum: baza legală a prelucrării; drepturile persoanei; obligațiile operatorului; informarea persoanei vizate; securitatea prelucrării; procesul de
notificare a încălcării măsurilor de securitate; asigurarea securității începând cu momentul conceperii și implicit; procesul de evaluare a impactului; responsabilul cu securitatea datelor; transferul datelor.

2. Evaluarea impactului asupra protecției datelor/Evaluarea riscurilor – Politicile și procedurile, chiar dacă sunt obligatorii și probe privind conformitatea cu GDPR nu sunt suficiente. Este nevoie și de măsuri tehnice. Dar pentru a identifica ce tehnicisme vom folosi trebuie să evaluăm impactul/ riscurile asupra asigurării protecției datelor.

3. Testare, evaluare, apreciere – Articolul 32 – Securitatea prelucrării impune existența unui proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

Ce resurse financiare sunt necesare? Este greu de făcut o prognoză înainte de fazele 1 și 2, dar prea ieftin nu va fi. În funcție de specificul organizației, ca soluții tehnice pot rezulta: DLP (data loss prevention), criptare (este obligatorie); soluții pentru monitorizare/securitate la nivel de baze de date; soluții de clasificare/etichetare; soluții de back-up și arhivare; soluții de auditare loguri etc.

Cât durează? Nici la această întrebare nu este simplu de răspuns. Dacă managementul organizației oferă întregul suport și alocă resursele umane necesare (un jurist, persoană IT, responsabil cu securitatea desemnat), proiectul ar putea fi finalizat în 6 luni. Dar acesta este un scenariu optimist.

Concluzie

Deși am putea spune că mai „este timp”, în realitate am cam intrat în ceasul al 12-lea. Entitățile vizate ar trebui să inițieze cât mai curând posibil demersurile pentru asigurarea conformității. De exemplu, dacă un client va fi sunat de banca la care a avut un credit sau de dealer-ul de la care și-a cumpărat mașina și nu există un document prin care clientul și-a exprimat consimțământul pentru astfel de activități, organizația în cauză va putea fi amendată de către Autoritatea de supraveghere a datelor cu caracter personal. La rândul său, fostul client poate cere în instanță daune morale sau materiale.

De | 2017-04-09T08:52:58+02:00 9 aprilie 2017|Categorii: Numarul 4, Tendințe și analize|Taguri: |0 Comentarii

Despre autor:

Lasa un comentariu