“Recomand companiilor sa urmareasca indicatiile oferite de Autoritatea Nationala de Supraveghere a Prelucrării Datelor cu Caracter Personal, in calitate de autoritate publica centrala autonoma cu competenta generala in domeniul protectiei datelor personale si sa trateze cu maxima seriozitate si celeritate alinierea companiilor lor la GDPR”, spune Carmen Dascalescu, Director General Bocasoft, companie infiintata in 2015 de specialisti cu peste 20 ani de activitate in domeniul managementului general si financiar, fonduri europene, al securitatii cibernetice si protectiei datelor cu caracter personal. Bocasoft colaboreaza in prezent cu Clico Romania pentru organizarea de sesiuni de training pe tema GDPR, dar ofera si servicii de conformare si externalizare servicii GDPR (DPO).
Poate ca GDPR provoaca la inceput ingrijorari companiilor si organizatiilor vizate, dar exista si o parte buna a acestor masuri: oportunitatile. Firmele care vor aprecia viata privata a individului, transparenta in utilizarea datelor, metode noi imbunatatite de protectie a datelor pe tot ciclul de viata al acestora, vor determina cresterea increderii clientului si fidelizarea acestuia.
Intr-un studiu efectuat de TRUSTe/NCSA s-a constatat ca 92% din clientii online citeaza securitatea datelor si confidentialitatea acestora ca principala lor preocupare, iar 57% nu au incredere in companii ca acestea le folosesc in mod responsabil datele lor personale. De asemenea, raportul Symantec privind confidentialitatea in statele Europei arata ca:
- 90% dintre companii considera dificila respectarea cerintei privind stergerea datelor despre clienti
- 81% din companii cred ca clientii vor exercita dreptul de a cere stergerea datelor
- 60% nu dispun de instrumentele necesare stergerii datelor
- 10% au primit cereri pentru a face uitate datele clientilor
- 41% dintre companii nu inteleg nici legea nici bunele practice
Mai mult, un studiu efectuat pe 800 de profesionisti IT in domeniul afacerilor, responsabili de confidentialitatea datelor la companii cu clienti europeni a condus la concluzia ca 80% din companiile unde acestia erau angajati nu stiu mai nimic despre GDPR si, bineinteles, nu aveau niciun plan de actiune privind implementarea GDPR.
A ramas foarte putin timp pana 25 mai 2018, cand se va aplica noul Regulament pentru Protectia Datelor cu Caracter Personal – GDPR, pentru toate statele membre. Aflam care sunt pasii pe care orice companie trebuie sa ii urmeze pentru a fi conforme cu noile reguli, chiar de la Carmen Dascalescu, Director General BocaSoft.
- Constientizarea
Ar trebui sa se asigure ca factorii de decizie si persoanele cheie din companii sunt constiente de faptul ca legea se schimba prin aparitia regulamentului GDPR si ca trebuie sa cunoasca principale prevederi ale acestuia pentru a evita amenzile uriase. Companiile trebuie sa aprecieze impactul pe care il are acest lucru si sa identifice domeniile care ar putea provoca probleme de conformitate cu GDPR.
- Efectuarea unui inventar al tuturor datelor cu caracter personal pe care le detine o companie si evaluarea lor din urmatoarele perspective:
- De ce le pastreza?
- Cum le-a obtinut?
- De ce au fost colectate initial?
- Cat timp le va pastra?
- Cat de sigura este criptarea si accesibilitatea?
- Le va imparti vreodata cu terte parti si pe ce baza va face acest lucru?
Acesta este primul pas spre respectarea principiului responsabilitatii GDPR care impune organizatiilor sa demonstreze (si, in majoritatea cazurilor, sa documenteze) modalitatile prin care respecta principiile de protectie a datelor atunci cand le tranzactioneaza. Inventarul va permite, de asemenea, organizatiei sa modifice date incorecte sau sa urmareasca actiunile tertilor in viitor.
- Comunicarea informatiilor privind confidentialitatea
Trebuie revizuite procedurile de notificare actuale privind confidentialitatea si sa realizam si sa punem In aplicare un plan pentru modificarile necesare in acest scop pentru conformitatea cu GDPR.
“Atunci cand colectezi date personale, trebuie sa oferi oamenilor anumite informatii, cum ar fi identitatea ta si cum intentionezi sa le utilizezi informatiile. Acest lucru se face, de obicei, printr-o notificare privind confidentialitatea. Sub GDPR exista cateva lucruri suplimentare pe care trebuie sa le spui oamenilor. De exemplu, va trebui sa explicati baza dumneavoastra legala pentru prelucrarea datelor, perioadele de pastrare a datelor si ca persoanele au dreptul sa se planga catre autoritatea competenta, respectiv, Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal - ANSPDCP, daca considera ca exista o problema cu modul in care gestionati datele. GDPR cere ca informatiile sa fie furnizate in limbaj concis, usor de inteles si clar” explica Carmen Dascalescu.
- Drepturile persoanelor
Trebuie verificate procedurile interne pentru a va asigura ca acestea acopera toate drepturile pe care le au persoanele, inclusiv modul in care stergeti datele cu caracter personal sau furnizati datele in format electronic si intr-un format utilizat in mod obisnuit.
GDPR include urmatoarele drepturi pentru persoane fizice: de a fi informate, de acces, de rectificare, de stergere, de a restrictiona prelucrarea, de portabilitate a datelor, la obiectii, de a nu face obiectul unui proces decizional automat, inclusiv profilarea.
In ansamblu, drepturile de care indivizii beneficiaza in cadrul GDPR sunt aceleasi cu cele din vechea directiva, dar cu unele imbunatatiri semnificative. Este un moment bun pentru a va verifica procedurile si pentru a afla cum ati reactiona daca cineva va solicita sa stergeti datele personale, de exemplu. Sistemele dumneavoastra va vor ajuta sa localizati si sa stergeti datele? Cine va lua deciziile privind stergerea?
- Cererile de acces la date
Trebuie actualizate procedurile si planificat modul in care se rezolva cererile de acces la date pentru a tine seama de noile norme:
- In majoritatea cazurilor, nu vor putea fi percepute taxe pentru indeplinirea unei solicitari.
- Va fi doar o luna la dispozitie pentru a le respecta, fata de 40 de zile in prezent.
- Daca este respinsa o cerere, trebuie sa I se comunice persoanei din ce motiv si ca are dreptul sa se planga autoritatii de supraveghere, precum si care sunt caile de atac.
- Baza legala pentru prelucrarea datelor cu caracter personal
Trebuie identificata baza legala a activitatii de prelucrare a datelor personale in conformitate cu GDPR, documentata si actualizata notificarea de confidentialitate.
- Consimtamantul
Trebui revizuit modul in care se solicita, se inregistreaza si gestioneaza consimtamantul si daca trebuie sa fie facute modificari. Consimtamintele existente trebuie actualizate daca nu respecta standardul GDPR. Consimtamantul trebuie sa fie dat in mod liber, specific, informat si lipsit de ambiguitate. Autoritatile publice si angajatorii vor trebui sa aiba grija deosebita, consimtamantul trebuie sa fie verificabil.
- Prelucrarea datelor referitoare la copii
Trebuie modificate sistemele in vigoare pentru a verifica varsta persoanelor si pentru a obtine consimtamantul parintilor sau tutorilor pentru orice activitate de prelucrare a datelor.
“Pentru prima data, GDPR va aduce o protectie speciala pentru datele cu caracter personal ale copiilor, in special in contextul serviciilor comerciale de internet, cum ar fi retelele sociale. Daca organizatia voastra ofera copiilor servicii online ("servicii ale societatii informationale") si se bazeaza pe consimtamantul de a colecta informatii despre acestea, este posibil sa aveti nevoie de consimtamantul parintelui sau tutorelui pentru a le prelucra In mod legal datele lor personale. GDPR stabileste varsta atunci cand un copil poate sa-si dea consimtamantul la aceasta procesare la 16 ani”, adauga Carmen Dascalescu.
- Scurgeri/pierderi de date
Trebuie verificate procedurile potrivite pentru a detecta, raporta si investiga o scurgere/pierdere a datelor cu caracter personal. GDPR introduce o obligatie pentru toate organizatiile de a raporta anumite tipuri de incalcari ale datelor si, in unele cazuri, si persoanelor fizice. Trebuie notificata autoritatea numai la o scurgere/pierdere atunci cand este posibil sa duca la un risc pentru drepturile si libertatile persoanelor - daca, de exemplu, aceasta ar putea duce la discriminare, la reputatie, la pierderi financiare, la pierderea confidentialitatii sau la orice alte dezavantaje economice sau sociale semnificative.
In cazul in care o scurgere/pierdere este susceptibila sa duca la un risc ridicat pentru drepturile si libertatile persoanelor, va trebui, de asemenea, sa fie informati cei interesati direct. Trebui introduse proceduri pentru a detecta, raporta si investiga eficient scurgerea/pierderea datelor cu caracter personal. Trebuie evaluate tipurile de date cu caracter personal detinute si documentate in cazul in care se va cere notificarea Autoritatatii de supraveghere sau persoanele afectate in cazul in care a avut loc o scurgere/pierdere de date. Organizatiile mai mari vor trebui sa dezvolte politici si proceduri pentru gestionarea acestor scurgeri/pierderi de date. Nerespectarea unei astfel de raportari atunci cand este necesar, ar putea avea drept rezultat o amenda, precum si o amenda pentru incalcarea in sine.
- DPO/ Ofiterul de protectie a datelor
Firmele trebuie sa desemneze pe cineva – extern sau intern - care sa-si asume responsabilitatea pentru respectarea protectiei datelor. La aceasta data nu exista cursuri autorizate de catre Autoritatea Nationala pentru Calificari, specialistii in domeniu sunt putini, ceea ce ridica costurile aferente formarii profesionale.
Clico Romania este subsidiara din Romania a grupului polonez Clico, leader in CEE in domeniul distributiei de solutii de retelistica si securitate de retea.
Clico reprezinta in Romania solutii care acopera intreaga gama de cerinte specificate in regulamentul GDPR: Juniper Networks / Palo Alto Networks / Forcepoint, a Raytheon Company / Imperva / Arista Networks / Acronis / Tufin Technologies / MobileIron / A10 Networks / HPE Aruba Networks / Ruckus Wireless / Thales / Microsens / Verint / Ucopia Networks / Rubrik / Cyberark / Pulse Secure / Radware / Trend Micro / Verint