GDPR: cine are cea mai mare nevoie de protectia datelor?

Pentru GDPR se framanta multe firme azi. Unele dintre cele mai mari sufera deja, in ciuda precautiilor implementate. Adidas este primul nume mare implicat intr-un incident care a afectat in 26 iunie cateva milioane de persoane. Anuntul a fost facut pe site-ul adidas si este accesibil in engleza aici.

Comentata ceva mai pe larg in acest articol, aceasta bresa in protectia datelor ar presupune afectarea unor informatii privind accesul neautorizat la numele utilizatorilor, datele de contact si parolele criptate de acces ale acestora in conturile din platforma adidas, fara a include datele bancare sau informatii privind starea de sanatate si fitness.

Un alt incident se refera la o bresa care a avut loc la o companie specializata in baze de date, Exactis, de o amploare mult mai grava, ajungand la expunerea a aproape 340 de milioane de inregistrari continand date personale, intr-un volum de circa 2 terabytes de informatii.

Practic, in SUA, datele fiecarui cetatean au fost, foarte probabil, expuse. Conform expertilor in securitate citati in stirea de aici, pana si cele mai elementare masuri de precautie au fost ignorate de banca de date a brokerului Exactis, care a neglijat stocarea datelor pe servere sigure, protejate de programe firewall, etc.

Daca se descopera ca in acest incident au fost incluse date ale unor persoane din UE, protejate de GDPR, va fi extrem de interesanta urmarirea situatiei, provocate de lipsa de responsabilitate a neglijentilor de la Exactis. In acest timp, ce se intampla in Romania, unde multi ignora, amana sau fac la repezeala ceva ce doar seamana a implementare GDPR?

Cele mai frecvente probleme de protectie a datelor personale in Romania si solutiile lor

Implementarea Regulamentului General de Protectie a Datelor Personale (GDPR) in organizatiile din Romania se loveste de o serie de probleme practice majore. Acestea genereaza riscuri greu de controlat, in lipsa unor masuri imediate. Pagubele pot fi insemnate si se pot extinde pe scara larga. Iata cateva dintre solutiile propuse in continuarea acestui articol.

Printre organizatiile sanctionate in 2016 de ANSPDCP, ultimul an pentru care autoritatea a publicat informatii, se afla companii dintre cele mai mari din Romania, ca numar de angajati, cifra de afaceri si numar de clienti. Asadar, pana si pentru cele mai mari firme pot aparea probleme de protectie a datelor personale si de intelegere si aliniere la cerintele si reglementarile in vigoare.

Regulamentul UE 679/2016 (GDPR) privind protectia datelor personale, intrat in vigoare in 25 mai 2018, aduce o serie de modificari importante in relatia dintre persoanele fizice si organizatiile care intra in posesia datelor personale ale acestora. Pe scurt, persoanele fizice vor fi mai bine protejate, vor beneficia de drepturi extinse si de un control mai bun asupra datelor personale aflate in posesia unor terti.

Principalele probleme: responsabilitatea firava, lipsa de training, lipsa de proceduri

Principalele probleme la care organizatiile au nevoie sa gaseasca si sa implementeze rapid solutii pentru alinierea la cerintele GDPR tin de responsabilitatea si de mentalitatea specifica fiecarei organizatii, de cultura organizatiei, de trainingul angajatilor si de procedurile interne pe care le pun in aplicare.

Astfel, de exemplu, multe organizatii s-au obisnuit sa solicite si sa prelucreze date personale in plus fata de cele necesare, cum ar fi conditionarea accesului vizitatorilor de furnizarea documentelor de identificare si retinerea unei copii sau a datelor personale de pe aceste documente, fara a justifica acest lucru printr-o prevedere legala, aferenta unui nivel de securitate specific organizatiilor respective, fara a-si asuma responsabilitatea pentru prelucrarea acestor date.

Solutia consta in solicitarea, colectarea si prelucrarea datelor personale intr-un volum care sa fie restrans la minimul necesar si pe o durata de timp strict conforma scopului prelucrarii. Ulterior expirarii termenului, este necesar ca aceste date sa fie sterse in mod protejat.

Licente expirate, programe fara licenta, lipsa programelor antivirus

O alta problema majora si frecvent intalnita tine de utilizarea unor sisteme de operare depasite moral, programe fara licenta sau cu licente expirate, foarte vulnerabile la intruziuni fara autorizatie si la acces ilegal la informatiile si datele personale stocate pe sistemele informatice.

De asemenea, intrucat atacurile informatice s-au diversificat si s-au inmultit considerabil in fiecare dintre ultimii ani, lipsa unor masuri elementare de securitate reprezinta o alta problema majora pentru protectia datelor personale in multe organizatii. Instalarea unui program antivirus si a unor masuri de protectie reprezinta solutii rapide si relativ usor de implementat, pentru prevenirea incidentelor.

Deseori, desi la nivelul managementului exista cunostinte de protectie a datelor personale prelucrate, fie din lipsa de timp, fie din omisiune, aceste informatii lipsesc la nivelul angajatilor cu rol executiv si operativ, care proceseaza efectiv aceste date, in fiecare zi.

In acest sens, este esentiala pregatirea angajatilor in sesiuni organizate de training. Scopul este aplicarea unor proceduri de colectare, prelucrare, stocare si transfer privind datele personale, protejarea lor si securizarea tuturor activitatilor, de la momentul initial al conceperii datelor personale si in mod implicit, conform prevederilor art. 25 din GDPR.

Ce activitati de prelucrare a datelor intra sub incidenta GDPR?

Cele mai frecvente operatiuni obisnuite care implica prelucrarea datelor personale sint cele de resurse umane, financiar-contabile, de marketing si vanzari, de comunicatii si IT. Mai mult, deseori apar schimburi de informatii intre organzatii, cum ar fi transmiterea datelor catre terti pentru emiterea unor tichete cadou sau de masa, pentru medicina muncii sau cursuri de instruire si calificare, pentru efectuarea unor operatiuni financiar-bancare, evidente contabile, pentru livrarea corespondentei, pentru comuncatii electronice si telecomunicatii, etc.

Astfel de relatii complexe implica probleme majore si riscuri ridicate pentru confidentialitatea datelor personale prelucrate si necesita proceduri riguroase de evaluare si protectie a acestor activitati.

Conform punctului 11 din motivele expuse in preambulul Regulamentului UE 679/2016 (GDPR), “Protectia efectiva a datelor cu caracter personal in intreaga Uniune necesita nu numai consolidarea si stabilirea in detaliu a drepturilor persoanelor vizate si a obligatiilor celor care prelucreaza si decid prelucrarea datelor cu caracter personal, ci si competente echivalente pentru monitorizarea si asigurarea conformitatii cu normele de protectie a datelor”.

Aceste competente vor fi determinante pentru alegerea solutiilor optime de prevenire a incidentelor de securitate. Mai mult, monitorizarea si asigurarea conformitatii cu normele de protectie a datelor vor avea caracter continuu, incepand cu 25 mai 2018. Cu alte cuvinte, va fi nevoie ca solutiile implementate sa fie permanent urmarite si actualizate, adaptate evolutiilor ulterioare din domeniile relevante, cum ar fi tehnologia informatiei si comunicatiile.

De asemenea, conform punctului 39 din preambulul GDPR, “orice prelucrare de date cu caracter personal ar trebui sa fie legala si echitabila. Ar trebui sa fie transparent pentru persoanele fizice ca sunt colectate, utilizate, consultate sau prelucrate in alt mod datele cu caracter personal care le privesc si in ce masura datele cu caracter personal sunt sau vor fi prelucrate.

Principiul transparentei prevede ca orice informatii si comunicari referitoare la prelucrarea respectivelor date cu caracter personal sunt usor accesibile si usor de inteles si ca se utilizeaza un limbaj simplu si clar. Acest principiu se refera in special la informarea persoanelor vizate privind identitatea operatorului si scopurile prelucrarii, precum si la oferirea de informatii suplimentare, pentru a asigura o prelucrare echitabila si transparenta in ceea ce priveste persoanele fizice vizate si dreptul acestora de a li se confirma si comunica datele cu caracter personal care le privesc care sunt prelucrate.

Persoanele fizice ar trebui informate cu privire la riscurile, normele, garantiile si drepturile in materie de prelucrare a datelor cu caracter personal si cu privire la modul in care sa isi exercite drepturile in legatura cu prelucrarea. In special, scopurile specifice in care datele cu caracter personal sunt prelucrate ar trebui sa fie explicite si legitime si sa fie determinate la momentul colectarii datelor respective.

Datele cu caracter personal ar trebui sa fie adecvate, relevante si limitate la ceea ce este necesar pentru scopurile in care sunt prelucrate. Aceasta necesita, in special, asigurarea faptului ca perioada pentru care datele cu caracter personal sunt stocate este limitata strict la minimum. Datele cu caracter personal ar trebui prelucrate doar daca scopul prelucrarii nu poate fi indeplinit in mod rezonabil prin alte mijloace.

In vederea asigurarii faptului ca datele cu caracter personal nu sunt pastrate mai mult timp decat este necesar, ar trebui sa se stabileasca de catre operator termene pentru stergere sau revizuirea periodica. Ar trebui sa fie luate toate masurile rezonabile pentru a se asigura ca datele cu caracter personal care sunt inexacte sunt rectificate sau şterse.

Datele cu caracter personal ar trebui prelucrate intr-un mod care sa asigure in mod adecvat securitatea si confidentialitatea acestora, inclusiv in scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizata a datelor cu caracter personal si a echipamentului utilizat pentru prelucrare.”

In fine, multe organizatii au ales sa implementeze pe cont propriu o serie de masuri menite sa imbunatateasca modul in care prelucreaza datele personale si sa evite problemele si riscurile majore de incalcare a cerintelor GDPR. Timpul va demonstra cat de viabile sunt solutiile implementate de fiecare, cat de complete si sigure, cat de rezistente in fata provocarilor actuale, in continua crestere.

Pentru o aliniere eficienta la noile reglementari, este necesar ca solutiile adoptate sa faciliteze circulatia datelor cu caracter personal, sa contribuie la crearea unui climat de incredere care sa permita economiei digitale sa se dezvolte fara obstacole in continuare, pentru o buna functionare a pietei interne a UE, tinand cont de necesitatile specifice microintreprinderilor si intreprinderilor mici si mijlocii.

Ce concluzii constructive pot fi aplicate pentru alinierea rapida si corecta la cerintele GDPR?

In concluzie, avand in vedere complexitatea problemelor cu care se confrunta organizatiile care prelucreaza date personale ale persoanelor fizice, alegerea solutiilor optime incepe cu asumarea corecta a responsabilitatilor, cu pregatirea angajatilor si implementarea unor proceduri clare, pe care sa le urmeze permanent.

Comunicarea cu persoanele vizate este esentiala, atat prin prisma respectarii drepturilor acestor persoane, cat prin prisma conformarii cu cerintele GDPR in caz de incident. Confidentialitatea datelor personale poate fi supusa unor riscuri de compromitere, asa cum reiese clar din situatiile recente descrise la inceputul acestui articol.

Masurile de recuperare aplicate pot face diferenta intre organizatiile solide, viabile si demne de incredere, pe de o parte, si organizatiile care vor avea de suferit din punct de vedere al increderii publicului si din punct de vedere al vulnerabilitatii la sanctiuni drastice, aplicate pentru lacune majore privind protectia datelor personale.