Protejarea datelor cu caracter personal: Mituri demontate despre GDPR, paşi de urmat şi soluţii

În cadrul evenimentului GDPR – O abordare practică pentru profesioniştii IT, organizat de ECKO, powered by Microsoft şi Ingram, având ca partener Revista CARIERE, care a avut loc pe 14 februarie la Impact Hub, specialişti din domeniu au abordat teme de interes legate de modul în care regulamentul poate avea impact asupra companiilor.

Astfel, moto-ul evenimentului, “Festina lente!”, se referă pe de o parte la termenul scurt rămas până la intrarea în vigoare și la nevoia de a accelera pașii pentru creșterea nivelului de complianță cu regulamentul, iar pe de altă parte moto-ul încurajează aprecierea corectă a contextului, dincolo de mesajele preponderent alarmiste din spațiul public.

Perspectiva unui profesionist IT despre abordarea practică a GDPR-ului a fost asigurată de Lucian Nicu, Business Unit Manager, Enterprise Solutions, ECKO. El a discutat cu participanţii la conferinţă despre subiecte precum:

• Factorii de decizie din IT adresează întrebările corecte în legătură cu GDPR-ul?
• Care sunt provocările profesioniștilor IT din România în contextul GDPR?
• Cum pot fi soluționate aceste provocări, în efortul lor de a asigura politici conforme cu reglementările GDPR?
• Insight-uri și sfaturi practice despre GDPR, cloud și provocările pe care le au executivii din IT.

De asemenea, au fost demontate câteva mituri legate de GDPR. Primul a fost acela potrivit căruia principalul scop ar fi aplicarea unor amenzi uriaşe.

Lucian Nicu a precizat că Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, cea care are atribuţii legate de GDPR în ţara noastră, a transmis că măsurile corective pe care le va putea dispune în temeiul acestui regulament se referă si la:

• dispunerea unei avertizări în atenția unui operator,
• acordarea unei mustrări,
• obligarea operatorului să informeze persoana vizată cu privire la o încălcare a protecției datelor,
• impunerea unei limitări temporare sau definitive, inclusiv o interdicție asupra prelucrării, rectificarea sau ștergerea datelor sau restricționarea prelucrării, etc.

Astfel se încearcă să se calmeze spiritele legate de amenzile uriaşe care au fost exacerbate uneori în spaţiul public, în ideea că astfel de sancţiuni vor fi stabilite doar după o analiză temeinică şi în funcție de circumstanțele fiecărui caz în parte!

Iată ce se mai arată în comunicat: “Totodată, Autoritatea de Supraveghere se delimitează și respinge publicitatea agresivă a unor terțe părți în încercarea de monetizare a prevederilor Regulamentului General privind Protecția Datelor, prin mediatizarea <<perspectivei de a se aplica amenda maximă de 4% din cifra de afaceri>> și acreditarea ideii false că aplicarea amenzii maxime ar fi principalul obiectiv al Regulamentului“.

Un alt mit demontat în cadrul conferinţei a fost acela că implementarea GDPR se află preponderent în sarcina IT-ului dintr-o companie.

Lucian Nicu a ţinut să reitereze că regulamentul european NU este un proiect de hardware şi software, ci un standard global, care va guverna modul în care sunt sunt gestionate şi protejate datele cu caracter personal, prin politici, procese şi reguli, iar zona de IT va ajuta o organizaţie ca şi platforma şi set de instrumente. Cu alte cuvinte, joacă rolul de enabler (facilitator) şi face parte din cele trei direcţii principale implicate în obţinerea unui nivel acceptabil de complianţă cu GDPR, alături de Legal şi Organizaţional.

Ce face un responsabil cu protecţia datelor

Un alt element important pe care acest act normativ european îl aduce îl reprezintă instituirea obligativității desemnării la nivelul operatorului sau persoanei împuternicite de operator, în anumite cazuri, a unui responsabil cu protecția datelor (vezi AICI excepţiile).

Articolul 37 alin. 5 din Regulamentul UE 2016/679 stabilește ca acesta să fie ”desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacităţii de a îndeplini sarcinile prevăzute la articolul 39.”

Astfel, acesta trebuie să aibă capacitatea de a îndeplini sarcinile. În acest sens sunt necesare anumite calități personale (ex: integritate și etica profesională), cunoștințe, dar și o anumită poziție în cadrul organizației.

Calități profesionale necesare sunt, potrivit Regulamentului:

• experiență în legislația și practicile de protecție a datelor la nivel național și european, precum și o înțelegere adecvată a RGPD;
• nivelul necesar de cunoștințe în domeniul protecției datelor în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție necesar pentru datele cu caracter personal prelucrate;
• să înțeleagă operațiunile de prelucrare efectuate, precum și sistemele de informații și necesitățile de securitate și protecție a datelor prelucrate de operator;
• în cazul unei autorități sau instituții publice, responsabilul cu protecția datelor trebuie să dețină, de asemenea, cunoștințe privind reglementările legale referitoare la organizarea și funcționarea acestora, precum și a procedurilor interne administrative ce vizează desfășurarea activității.

Principala preocupare a responsabilului cu protecția datelor trebuie să fie respectarea Regulamentului General privind Protecția Datelor și a reglementărilor naționale incidente. Este obligat să păstreze secretul sau confidențialitatea în ceea ce privește îndeplinirea sarcinilor sale, în conformitate cu dreptul Uniunii sau cu dreptul intern.

Operatorul sau persoana împuternicită de operator, în ceea ce privește raporturile cu responsabilul cu protecția datelor, este obligat să:

• publice datele de contact ale responsabilului (adresă poștală, număr de telefon alocat special și/sau o adresă de email alocată special).
• comunice datele de contact ale responsabilului către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Responsabilului cu protecția datelor îi este permis să aibă și alte funcții. Acestuia îi pot fi încredințate și alte sarcini și atribuții, cu condiția ca acestea să nu dea naștere unor conflicte de interese (de ex: nu poate fi director executiv, director operațional, director financiar, șeful serviciului medical, șeful departamentului de marketing, șeful departamentului de resurse umane sau șeful departamentului IT).

Sarcinile responsabilului cu protecția datelor:

• de a informa şi consilia operatorul, sau persoana împuternicită de operator, precum şi angajaţii care se ocupă de prelucrările de date;
• de a monitoriza respectarea Regulamentului, a altor dispoziţii de drept al Uniunii sau de drept intern referitoare la protecţia datelor;
• de a consilia operatorul în ceea ce priveşte realizarea unei analize de impact asupra protecţiei datelor şi de a monitoriza executarea acesteia;
• de a coopera cu Autoritatea de Supraveghere și de a reprezenta punctul de contact cu aceasta;
• de a ține seama în mod corespunzător de riscul asociat operațiunilor de prelucrare, la îndeplinirea sarcinilor sale.

Pilonii principali ai implementării GDPR

În cadrul evenimentului, Oana Terteleac, Enterprise Channel Manager, Microsoft România, a recomandat o planificare a pașilor pentru îmbunătățirea conformității cu GDPR. Pe scurt, e vorba să descoperiți, să monitorizați, să protejați datele cu caracter personal și să documentați toate activitățile legate de GDPR pentru a oferi control și transparență organizației.

1. Discover: Identificaţi care sunt datele cu caracter personal pe care le aveţi şi le gestionaţi, dar şi locul în care sunt stocate

2. Manage: Gestionaţi modul în care datele cu caracter personal sunt folosite şi accesate

3. Protect: Stabiliţi controale de securitate pentru preveni, detecta şi răspune la vulnerabilităţi şi breşe de securitate

4. Report: Faceţi documentarea solicitată, gestionaţi cererile şi breşele de securitate.

Către conformitatea cu GDPR folosind Microsoft Enterprise Mobility + Security

Victor Chiriță – Senior Technology Consultant @ ECKO, CISA – a prezentat în cadrul evenimentului utilitatea unor soluţii dezvoltate de Microsoft, care oferă un ajutor binevenit în conformitatea cu GDPR pentru o organizaţie.

Acestea sunt grupate în suita Microsoft Enterprise Mobility +Security (EMS) şi oferă o soluţie unitară ce permite clienţilor să acceseze cele mai recente inovaţii ale tehnologiilor cloud şi de mobilitate.

EMS permite implementarea măsurilor şi controalelor organizatorice şi tehnice necesare pentru satisfacerea cerinţelor de conformitate cu GDPR, protejând identităţile, dispozitivele, aplicaţiile şi datele.

Componentele EMS prezentate au fost:

• Azure Information Protection – asigură clasificarea şi protecția în mod persistent a datelor locale și din cloud, permite partajarea securizata a datelor în cadrul sau în afara organizatiei şi monitorizarea activităţilor ce implică datele partajate.

• Azure Active Directory – oferă opţiuni pentru autentificare multi-factor, controlul accesului bazat pe starea de conformitate a dispozitivului, locaţia utilizatorului şi alţi factori de risc, precum şi rapoarte complete de audit, securitate şi alerte privind evenimentele de autentificare

• Microsoft Cloud App Security – asigură creșterea vizibilității și controlului asupra datelor stocate şi procesate folosind aplicațiile cloud;

• Microsoft Intune – uşurează securizarea şi gestionarea dispozitivelor iOS, Android şi Windows PC, dintr-o singură consolă, asigurând protecția datelor la nivelul dispozitivelor și la nivelul aplicațiilor;

• Microsoft Advanced Threat Analytics – permite detectarea amenințărilor înainte ca acestea să provoace pagube, folosind algortimi avansaţi de tip machine learning şi urmărind activitatea şi modificările survenite în reţeaua locală.