Sari la continut

Un singur om poate să schimbe cu mintea lui o țară

De trei ani, peste 300 de contributori își scriu ideile pe această platformă, construiesc împreună cu noi o comunitate, un spațiu al celor care știu că România poate să arate altfel. Te invităm să scrii și tu!

Oferiți angajaților sau clienților un serviciu de email în cloud? Iată măsurile pe care trebuie să le luați din 2018 pentru protecția datelor cu caracter personal

Regulamentul General pentru Protecția Datelor cu caracter personal devine aplicabil în mai 2018 în mod direct în toate statele membre UE. După cum explicam într-un text anterior, termenul pare departe, dar pregătirea necesară pentru a asigura conformitatea cu cerințele Regulamentului implică timp și efort în derularea unor activități minime. Se trece de la o viziune formalistă, bazată pe notificări ale prelucrărilor de date, la o abordare bazată pe responsabilizarea celor care prelucrează date, prin urmare partea de prevenție, evaluări de risc, securitate eficientă a datelor și documentare a acestor activități devine esențială.

Orice companie sau entitate non-profit care prelucrează date cu caracter personal trebuie să țină cont de prevederile Regulamentului. Prelucrarea de date cu caracter personal înseamnă orice activitate prin care se colectează, stochează, utilizează, analizează sau coroborează date care identifică sau pot identifica o persoană. Sunt considerate date cu caracter personal atât nume, prenume, adresă, date de sănătate, cont bancar, CNP ale unei persoane, cât și adresa de email personală sau de business, adresa IP, date biometrice sau preferințele de cumpărături.

Obligațiile impuse de Regulament sunt multe și complexe, dar sunt câțiva pași minimi pe care orice entitate, chiar și întreprinderile mici și mijlocii, de la un mic magazin online până la un cabinet de avocatură individual, trebuie să îi urmeze pentru a se asigura că nu se expune riscului unor amenzi piperate de până la 10 milioane de euro sau 2% din cifra de afaceri ori, în unele cazuri, până la 20 de milioane de euro sau 4% din cifra de afaceri:

- Identificarea tipurilor de date cu caracter personal prelucrate, precum și a fluxului de date. De exemplu, în cazul unei companii de publicitate, putem vorbi de un flux legat de date ale angajaților, pe care compania le colectează în calitate de angajator, un flux de date ale clienților și un alt flux legat de datele furnizorilor lor de servicii. Fiecare dintre aceste fluxuri presupune colectarea și utilizarea de date cu caracter personal, stocarea acestora în sisteme electronice, comunicarea pe email sau, uneori chiar analiza mai profundă a acestora în scop de profilare sau analiză de piață. Pentru fiecare dintre aceste fluxuri, compania trebuie să clarifice nu numai ce categorii de date colecteza, dar și în ce scop-dacă sunt colectate și utilizate exclusiv pentru a răspunde obligațiilor legale sau și în alte scopuri.

- Temeiul legal care stă la bază prelucrării este extrem de important, întrucât impacteaza conținutul drepturilor persoanelor fizice ale căror date sunt prelucrate. De exemplu, dacă temeiul prelucrării ține doar de respectarea unor obligații legale-plata salariilor și a impozitelor aferente, persoana fizică are dreptul să fie informată cu privire la tipul de date colectate și modul în care sunt prelucrate, dar nu se poate vorbi despre un drept la retragerea consimțământului de către persoana fizică de a-i fi prelucrate datele sau despre un drept la portabilitatea datelor. 

- Foarte important, este ca, pe fiecare flux de date, să se determine către ce alte entități sau persoane sunt comunicate aceste date cu caracter personal și în ce scop. De asemenea, trebuie să se identifice toate locațiile unde ajung aceste date în sistemele companiei: cum sunt colectate, unde sunt stocate și dacă din acea bază de date inițială, acestea migrează și în alte locații în cadrul companiei sau în afară.

· Una dintre cele mai importante obligații prevăzute de Regulament este implementarea măsurilor de securitate și organizatorice necesare pentru a asigura caracterul confidențial, integralitatea și disponibilitatea datelor, precum și pentru a preveni accesul neautorizat la date. Pe acest subiect voi reveni cu un articol mai amplu, însă pentru moment voi puncta câteva aspecte importante. Orice companie sau entitate care prelucrează date cu caracter personal trebuie să demonstreze capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continuă a sistemelor de prelucrare. Cu alte cuvinte, chiar și un mic restaurant, cu 5 angajați, trebuie să se asigure că utilizează pe propriile PC-uri sisteme de operare care sunt încă suportate de producător (adică are încă acces la patch-uri de securitate), că are programe de protecție față de atacuri malware și că protejează accesul la baza de date prin parole corespunzătoare. Cu cât complexitatea businessului crește și volumul sau tipul de date personale colectate este mai ridicat, cu atât aceste obligații de securitate sunt apreciate la un nivel mai ridicat.

Criptarea datelor este una dintre măsurile de protecție expres menționate în Regulament. Este necesar să vă asigurați că aveți datele criptate atât când sunt inactive (at rest), de exemplu atunci când stau stocate pe PC sau pe server, cât și atunci când circulă pe email sau în alte forme de transfer (în transit). Astfel, este recomandabil să utilizați o soluție de email și aplicații de productivitate sau comunicare care oferă o astfel de protecție, precum și transferul de documente prin soluții digitale protejate. Protejarea datelor prin criptare vă poate oferi, de exemplu, o dispensă de la obligația de a notifica persoanele fizice atunci când are loc un incident de securitate, iar datele respective sunt vizate de un atac. 

- Verificarea notificarilor și informărilor legale, precum și implementarea de politici interne de acces la date este o altă etapă necesară. Persoanele ale căror date sunt prelucrate au dreptul să fie informate despre categoriile de date pe care le colectați și prelucrați, precum și să cunoască scopul în care le utilizați și dacă dați acces altor entități la datele lor. De exemplu, dacă datele angajaților proprii sunt comunicate către furnizori de servicii pentru implementarea beneficiilor suplimentare ale angajaților (de ex. furnizori de servicii stomatologie incluse în pachetul salarial), aceștia au dreptul să fie informați asupra acestui fapt, precum și a tipului de date care sunt comunicate față de astfel de furnizori. Mai mult, este absolut necesar să va asigurați la nivel contractual că acești furnizori prelucrează datele exclusiv în scopul furnizării serviciului și că le păstrează în siguranță.

În măsura în care utilizați un serviciu de email sau bază de date în cloud, informarea către persoanele fizice ale căror date sunt prelucrate trebuie de asemenea să specifice furnizorul de servicii și aria geografică unde sunt stocate datele lor.

În ceea ce privește accesul la datele cu caracter personal, este recomandabil ca și pentru o companie mică sau mijlocie să existe o politică internă clară de accesare și protejare a datelor, astfel încât să se asigure că au acces la astfel de date numai cei care au nevoie pentru desfășurarea activității și că datele sunt protejate împotriva accesului neautorizat. 

- Implementarea modalităților de exercitare a drepturilor persoanelor fizice ale căror date sunt prelucrate. Regulamamentul prevede o serie de drepturi pentru cei ale căror date sunt prelucrate: dreptul de acces la date, dreptul de a le fi corectate datele, dreptul de fi uitat, dreptul la portabilitatea datelor. De exemplu, un magazin online trebuie nu numai să asigure clienților săi o informare corespunzătoare cu privire la tipul de date colectate și în ce scop sunt prelucrate, pe ce perioadă sunt păstrate datele, dar și să permită persoanelor fizice un acces la propriile date stocate și prelucrate de către acel magazin online, find necesar a implementa o modalitate ca acestea să poată solicita și obține corectarea datelor personale. În măsura în care magazinul reține date legate de comportamentul clienților cu scopul de a realiza o analiză a acestuia și a oferi sugestii de cumpărare pe baza cumpărăturilor anterioare sau a altor opțiuni exprimate în cadrul paginilor online ale magazinului, persoana fizică are dreptul de a fi informată cu privire la desfășurarea activității de profilare și scopul acesteia, precum și logica din spatele sistemului de profilare automată. Totodată, persoana fizică are dreptul de a obiecta față de o astfel de profilare. Pentru a asigura persoanelor vizate o modalitate eficientă de exercitare a acestor drepturi, este recomandabil să aveți în vedere sisteme automate de acces la date pentru corectarea acestora, exprimarea clară a consimțământului, ori înregistrarea de obiecțiuni față de profilare.

Aceasta este numai o scurtă trecere în revistă a unor activități minime, însă complexitatea acestor activități crește în măsura în care tipul de date prelucrate include date cu caracter sensibil (de exemplu, furnizorii de servicii medicale), ori tipul de prelucrare implica prelucrarea de date personale la scară largă (de exemplu, magazin online), ori complexitatea activității implică interconectarea între mai multe baze de date și activități de marketing bazate pe profilare. Important este să inițiați aceste activități de pregătire și evaluare de risc, să prioritizați analiza, să identificați din timp zonele unde trebuie să investiți și- extrem de important- să vă asigurați că lucrați cu sisteme IT de încredere, care vă pot da confortul că respectă anumite standarde de securitate.

Abonează-te la newsletterul Republica.ro

Primește cele mai bune articole din partea autorilor.

Comentarii. Intră în dezbatere


Îți recomandăm

articol audio
play icon mic icon Speranța Farcă

„Părinții sunt foarte angoasați, aud peste tot că copilul lui cutare face așa, copilul lui cutare face așa. Și se gândesc că ei nu oferă același start copilului lor, care va intra în competiție cu acei copii care au făcut toate acele cursuri. Gândim educația și viața ca pe o competiție”, spune Speranța Farca.

Citește mai mult

Șezlonguri în apă la Marea Neagră

Este o adevărată luptă între turişti pentru a prinde cel mai apropiat pat de plajă lângă apă deşi nu stau prea mult pe sezlong şi apoi tot ei se plâng că nu au soare pentru a se bronza din cauza umbrelelor extrem de apropiate.

Citește mai mult

Foto pentru textul Arinei Angelescu

Plec în oraș. Nu apuc să conduc prea mult când aud telefonul. E mama, care rămăsese cu cel mic. Inima îmi bate deja mai tare. Îmi trec tot felul de scenarii prin cap. Niciunul prea fericit. Răspund. Nu e mama. E băiețelul meu. Plânge în hohote și lasă puțin spațiu ca eu să înțeleg ceva. Nu-știu-ce grisine pe care le-am uitat acasă?!

Citește mai mult

Andrei Ene

AntiFragile, un startup care dezvoltă un sistem de etichete inteligente, care permit monitorizarea de la distanță a coletelor pe parcursul procesului de transport, a fost desemnat vineri seara câștigătorul competiției UPGRADE 100 Floors Elevator Pitch. Pe scurt, eticheta își schimbă culoarea dacă pachetul a fost scăpat de curieri.

Citește mai mult