Sari la continut

Vorbește cu Republica și ascultă editorialele audio

Vă mulțumim că ne sunteți alături de trei ani. De astăzi vă invităm să ascultați editorialele audio publicate pe platforma noastră, dar și să testați viitorul tehnologiei, implementăm conversația vocală direct în browser, apăsând pe butonul de microfon poți cere acces. Un proiect de inovație în tehnologie susținut de DEDEMAN.

Oferiți angajaților sau clienților un serviciu de email în cloud? Iată măsurile pe care trebuie să le luați din 2018 pentru protecția datelor cu caracter personal

Regulamentul General pentru Protecția Datelor cu caracter personal devine aplicabil în mai 2018 în mod direct în toate statele membre UE. După cum explicam într-un text anterior, termenul pare departe, dar pregătirea necesară pentru a asigura conformitatea cu cerințele Regulamentului implică timp și efort în derularea unor activități minime. Se trece de la o viziune formalistă, bazată pe notificări ale prelucrărilor de date, la o abordare bazată pe responsabilizarea celor care prelucrează date, prin urmare partea de prevenție, evaluări de risc, securitate eficientă a datelor și documentare a acestor activități devine esențială.

Orice companie sau entitate non-profit care prelucrează date cu caracter personal trebuie să țină cont de prevederile Regulamentului. Prelucrarea de date cu caracter personal înseamnă orice activitate prin care se colectează, stochează, utilizează, analizează sau coroborează date care identifică sau pot identifica o persoană. Sunt considerate date cu caracter personal atât nume, prenume, adresă, date de sănătate, cont bancar, CNP ale unei persoane, cât și adresa de email personală sau de business, adresa IP, date biometrice sau preferințele de cumpărături.

Obligațiile impuse de Regulament sunt multe și complexe, dar sunt câțiva pași minimi pe care orice entitate, chiar și întreprinderile mici și mijlocii, de la un mic magazin online până la un cabinet de avocatură individual, trebuie să îi urmeze pentru a se asigura că nu se expune riscului unor amenzi piperate de până la 10 milioane de euro sau 2% din cifra de afaceri ori, în unele cazuri, până la 20 de milioane de euro sau 4% din cifra de afaceri:

- Identificarea tipurilor de date cu caracter personal prelucrate, precum și a fluxului de date. De exemplu, în cazul unei companii de publicitate, putem vorbi de un flux legat de date ale angajaților, pe care compania le colectează în calitate de angajator, un flux de date ale clienților și un alt flux legat de datele furnizorilor lor de servicii. Fiecare dintre aceste fluxuri presupune colectarea și utilizarea de date cu caracter personal, stocarea acestora în sisteme electronice, comunicarea pe email sau, uneori chiar analiza mai profundă a acestora în scop de profilare sau analiză de piață. Pentru fiecare dintre aceste fluxuri, compania trebuie să clarifice nu numai ce categorii de date colecteza, dar și în ce scop-dacă sunt colectate și utilizate exclusiv pentru a răspunde obligațiilor legale sau și în alte scopuri.

- Temeiul legal care stă la bază prelucrării este extrem de important, întrucât impacteaza conținutul drepturilor persoanelor fizice ale căror date sunt prelucrate. De exemplu, dacă temeiul prelucrării ține doar de respectarea unor obligații legale-plata salariilor și a impozitelor aferente, persoana fizică are dreptul să fie informată cu privire la tipul de date colectate și modul în care sunt prelucrate, dar nu se poate vorbi despre un drept la retragerea consimțământului de către persoana fizică de a-i fi prelucrate datele sau despre un drept la portabilitatea datelor. 

- Foarte important, este ca, pe fiecare flux de date, să se determine către ce alte entități sau persoane sunt comunicate aceste date cu caracter personal și în ce scop. De asemenea, trebuie să se identifice toate locațiile unde ajung aceste date în sistemele companiei: cum sunt colectate, unde sunt stocate și dacă din acea bază de date inițială, acestea migrează și în alte locații în cadrul companiei sau în afară.

· Una dintre cele mai importante obligații prevăzute de Regulament este implementarea măsurilor de securitate și organizatorice necesare pentru a asigura caracterul confidențial, integralitatea și disponibilitatea datelor, precum și pentru a preveni accesul neautorizat la date. Pe acest subiect voi reveni cu un articol mai amplu, însă pentru moment voi puncta câteva aspecte importante. Orice companie sau entitate care prelucrează date cu caracter personal trebuie să demonstreze capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continuă a sistemelor de prelucrare. Cu alte cuvinte, chiar și un mic restaurant, cu 5 angajați, trebuie să se asigure că utilizează pe propriile PC-uri sisteme de operare care sunt încă suportate de producător (adică are încă acces la patch-uri de securitate), că are programe de protecție față de atacuri malware și că protejează accesul la baza de date prin parole corespunzătoare. Cu cât complexitatea businessului crește și volumul sau tipul de date personale colectate este mai ridicat, cu atât aceste obligații de securitate sunt apreciate la un nivel mai ridicat.

Criptarea datelor este una dintre măsurile de protecție expres menționate în Regulament. Este necesar să vă asigurați că aveți datele criptate atât când sunt inactive (at rest), de exemplu atunci când stau stocate pe PC sau pe server, cât și atunci când circulă pe email sau în alte forme de transfer (în transit). Astfel, este recomandabil să utilizați o soluție de email și aplicații de productivitate sau comunicare care oferă o astfel de protecție, precum și transferul de documente prin soluții digitale protejate. Protejarea datelor prin criptare vă poate oferi, de exemplu, o dispensă de la obligația de a notifica persoanele fizice atunci când are loc un incident de securitate, iar datele respective sunt vizate de un atac. 

- Verificarea notificarilor și informărilor legale, precum și implementarea de politici interne de acces la date este o altă etapă necesară. Persoanele ale căror date sunt prelucrate au dreptul să fie informate despre categoriile de date pe care le colectați și prelucrați, precum și să cunoască scopul în care le utilizați și dacă dați acces altor entități la datele lor. De exemplu, dacă datele angajaților proprii sunt comunicate către furnizori de servicii pentru implementarea beneficiilor suplimentare ale angajaților (de ex. furnizori de servicii stomatologie incluse în pachetul salarial), aceștia au dreptul să fie informați asupra acestui fapt, precum și a tipului de date care sunt comunicate față de astfel de furnizori. Mai mult, este absolut necesar să va asigurați la nivel contractual că acești furnizori prelucrează datele exclusiv în scopul furnizării serviciului și că le păstrează în siguranță.

În măsura în care utilizați un serviciu de email sau bază de date în cloud, informarea către persoanele fizice ale căror date sunt prelucrate trebuie de asemenea să specifice furnizorul de servicii și aria geografică unde sunt stocate datele lor.

În ceea ce privește accesul la datele cu caracter personal, este recomandabil ca și pentru o companie mică sau mijlocie să existe o politică internă clară de accesare și protejare a datelor, astfel încât să se asigure că au acces la astfel de date numai cei care au nevoie pentru desfășurarea activității și că datele sunt protejate împotriva accesului neautorizat. 

- Implementarea modalităților de exercitare a drepturilor persoanelor fizice ale căror date sunt prelucrate. Regulamamentul prevede o serie de drepturi pentru cei ale căror date sunt prelucrate: dreptul de acces la date, dreptul de a le fi corectate datele, dreptul de fi uitat, dreptul la portabilitatea datelor. De exemplu, un magazin online trebuie nu numai să asigure clienților săi o informare corespunzătoare cu privire la tipul de date colectate și în ce scop sunt prelucrate, pe ce perioadă sunt păstrate datele, dar și să permită persoanelor fizice un acces la propriile date stocate și prelucrate de către acel magazin online, find necesar a implementa o modalitate ca acestea să poată solicita și obține corectarea datelor personale. În măsura în care magazinul reține date legate de comportamentul clienților cu scopul de a realiza o analiză a acestuia și a oferi sugestii de cumpărare pe baza cumpărăturilor anterioare sau a altor opțiuni exprimate în cadrul paginilor online ale magazinului, persoana fizică are dreptul de a fi informată cu privire la desfășurarea activității de profilare și scopul acesteia, precum și logica din spatele sistemului de profilare automată. Totodată, persoana fizică are dreptul de a obiecta față de o astfel de profilare. Pentru a asigura persoanelor vizate o modalitate eficientă de exercitare a acestor drepturi, este recomandabil să aveți în vedere sisteme automate de acces la date pentru corectarea acestora, exprimarea clară a consimțământului, ori înregistrarea de obiecțiuni față de profilare.

Aceasta este numai o scurtă trecere în revistă a unor activități minime, însă complexitatea acestor activități crește în măsura în care tipul de date prelucrate include date cu caracter sensibil (de exemplu, furnizorii de servicii medicale), ori tipul de prelucrare implica prelucrarea de date personale la scară largă (de exemplu, magazin online), ori complexitatea activității implică interconectarea între mai multe baze de date și activități de marketing bazate pe profilare. Important este să inițiați aceste activități de pregătire și evaluare de risc, să prioritizați analiza, să identificați din timp zonele unde trebuie să investiți și- extrem de important- să vă asigurați că lucrați cu sisteme IT de încredere, care vă pot da confortul că respectă anumite standarde de securitate.

Abonează-te la newsletterul Republica.ro

Primește cele mai bune articole din partea autorilor.

Comentarii. Intră în dezbatere


Îți recomandăm

Protest 10 august

„Dacă se rostesc astfel de cuvinte cum face Liviu Dragnea, adică moarte, omor, bătăuşi, droguri, fascişti, toate sunt calculate, repetate de domnul Dragnea şi de consilierii săi pentru a construi o justficare în ochii opiniei publice a unor intervenţii asupra manifestanţilor anti-PSD care, până acum nu au comis nicio violenţă”, spune Cristian Tudor Popescu. (Foto: Inquam Photos)

Citește mai mult