GDPR: Ghid practic pentru asigurarea conformității
Reguli, informații orientative, tactici operaționale și tot ce trebuie să știi despre implementarea Regulamentului General de Protecție a Datelor (GDPR).
Evită penalizările și sancțiunile costisitoare.
Drumul spre implementarea
Regulamentului GDPR
1. Ce este GDPR?
Regulamentul General privind Protecția Datelor Personale (GDPR) este un act adoptat de Comisia Europeană, Parlamentul European și Consiliul Europei cu scopul de a consolida și unifica protecția datelor cu caracter personal în cadrul Uniunii Europene. Acest regulament aduce cele mai mari schimbări în legislația privind protecția datelor personale a persoanelor din cadrul UE, conform portalului GDPR. Înainte de aprobarea sa în Parlementul European în data de 14 aprilie 2016, regulamentul a fost pregătit și dezbătut timp de patru ani.
Regulamentul GDPR este o revoluție în domeniu și oferă persoanelor dreptul de a solicita operatorilor și procesorilor să șteargă, să corecteze sau să transmită datele personale. În consecință, Regulamentul GDPR aduce modificări semnificative față de Directiva 95/46/CE privind protecția persoanelor fizice, în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date. Aceste reglementări vor impune amenzi costisitoare organizațiilor care nu protejează datele cetățenilor europeni.
2. Pregătirea pentru GDPR
Organizațiile au început să conștientizeze necesitatea implementării Regulamentului GDPR, deoarece ziua în care actul va intra în vigoare se apropie cu pași repezi. Multe companii sunt departe de a-și desfășura activitatea în conformitate cu reglementările aduse de GDPR, deoarece schimbările pe care trebuie să le demareze presupun eforturi uriașe. La finalul anului 2016, un sondaj efectuat de AvePoint pe 223 de respondenți din organizații multinaționale a arătat că 26% dintre aceștia păstrează înregistrări cu prelucrarea datelor și a transferurilor, 33% clasifică datele și doar 10% dintre aceștia clasifică automat datele. Aceste procente sunt îngrijorătoare, fiindcă toate cerințele de mai sus sunt esențiale pentru aplicarea corectă a Regulamentului GDPR. De asemenea, studiul a arătat că organizațiile se află în diferite etape de pregătire pentru viitoarea legislație privind protecția datelor. Unele companii au desemnat un responsabil cu protecția datelor (DPO), în timp ce alții încă sunt în etapa de evaluare a impactului GDPR asupra operațiunilor sale.
Scopul acestui ghid este de a contribui la reducerea presiunii puse asupra organizațiilor, prin furnizarea unor informații utile privind implementarea Regulamentului GDPR.
3. Articole cheie și impactul lor asupra companiilor
Jurisdicție extinsă
GDPR definește în mod clar aplicarea teritorială, precizând că se aplică tuturor organizațiilor care colectează și/ sau prelucrează date cu caracter personal ale persoanelor care au reședința într-unul dintre statele membre ale Uniunii Europene, indiferent de locația organizației, astfel încât nu contează dacă prelucrarea datelor are loc în cadrul UE sau în alte state. De exemplu, o companie cu sediul în Statele Unite ale Americii care oferă produse și servicii cetățenilor europeni, intră sub jurisdicția Regulamentului GDPR.
Consimțământ
Nu vor mai exista notificări neclare. Toate organizațiile sunt obligate să obțină acordul persoanelor fizice pentru a le păstra și utilza datele personale, explicându-le în mod clar în ce scop vor fi utilizate. După intrarea în vigoare a regulamentului, colectorii de date trebuie să poată dovedi în orice moment că au obținut consimțământul persoanelor ale căror date le prelucrează. Persoanele fizice vor avea posibilitatea de a-și retrage în mod facil aprobarea utilizării datelor cu caracter personal.
Notificarea obligatorie a abaterilor
Companiile sunt obligate să notifice în 72 de ore de la constatarea încălcării Autoritatea Națională de Supraveghere, cu excepția cazului în care abaterea este puțin probabil să reprezinte un risc pentru drepturile și libertatea persoanelor. Notificarea trebuie să cuprindă informații specifice privind contextul pierderii datelor, numarul și tipul înregistrarilor încălcate, numele responsabilului cu protecția datelor (DPO), măsurile luate pentru reducerea riscurilor, și alte detalii relevante.
Responsabilul cu Protecția Datelor (DPO)
Atât companiile care controlează datele, cât și companiile care procesează datele trebuie să desemneze un responsabil cu protecția datelor (DPO). Articolele 37 și 39 din cadrul regulamentului menționează cine poate să ocupe poziția de DPO și să fie responsabil pentru protecția datelor. DPO-ul poate fi membru al organizației sau serviciile sale pot fi contractate.
Nu toate companiile vor fi obligate să angajeze sau să contracteze serviciile unui DPO, ci doar acei controlori și prelucratori de date ale caror activitati principale constau în desfășurarea unor operațiuni de prelucrare a acestora care necesita o monitorizare sistematică a datelor persoanelor vizate la scară largă sau a unor categorii speciale de date sau a datelor privind condamnările penale și infracțiunile, conform site-ului EUGDPR.org. Principalele responsabilități ale unui DPO este de a asigura implementarea corectă a reglementărilor aduse de GDPR, păstrarea unui registru cu operațiunile de prelucrare a datelor care implică informații private, furnizarea serviciilor de consultanță și informarea persoanelor care colectează și prelucrează datele în cadrul organizației cu privire la obligațiile survenite în cadrul Regulamentului GDPR.
Dreptul la acces
Acest articol reprezintă un element cheie în ceea ce privește asigurarea transparenței, oferind persoanelor dreptul de a solicita informații din partea organizațiilor cu privire la datele lor personale, respectiv ce date sunt prelucrate, unde sunt stocate și în ce scop sunt utilizate. Companiile trebuie să aibă capacitatea de a furniza o copie a înregistrarilor personale ale indivizilor în format electronic.
Dreptul de a fi uitat
Acest articol este cunoscut și sub denumirea „dreptul de stergere" și permite cetățenilor UE să solicite operatorului ștergerea datelor cu caracter personal, și să nu le împărtășească cu părți terțe,care sunt obligate la rândul lor să nu mai proceseze datele. Articolul 17 din cadrul Regulamentului GDPR include o lista de situatii în care se aplica dreptul de a fi uitat. De exemplu, datele cu caracter personal nu mai sunt necesare în raport cu scopul pentru care au fost coletate și prelucrate. În situația în care individul își retrage consimțământul, iar datele continuă să fie prelucrate, este considerat un act ilegal.
Portabilitatea datelor
În cazul în care o persoană dorește să transmită datele sale de la un contractor la altul, acest articol din cadrul Regulamentului GDPR ii oferă oportunitatea să facă acest lucru. În consecință, organizațiile trebuie să aiba capacitatea de a furniza date personale intr-un format „de uz general și în format electronic", dacă acestea sunt solicitate de persoane fizice.
Confidențialitatea prin design
Confidențialitatea prin design, la fel ca și „securitatea prin design", presupune includerea securității informațiilor din etapa incipientă în toate procesele, sistemele, produsele sau serviciile, rezultând implementarea prin evitarea lacunelor cauzate de procesele noi de securitate. În această situație este evidențiată importanța confidențialității prin design, considerată o cerință obligatorie, și nu doar o recomandare.
4. Penaltăți și sancțiuni
In functie de natura, gravitatea, durata de la încălcarea regulamentului, numărul persoanelor afectate, nivelul prejudiciilor și alți factori, sancțiunile sunt următoarele:
• până la 10 000 000 EUR sau 2% din cifra de afaceri globală anuală a exercițiului financiar precedent, oricare dintre acestea este mai mare
• până la 20 000 000 EUR sau 4% din cifra de afaceri globală anuală a exercițiului financiar precedent, oricare dintre acestea este mai mare
5. Două elemente cheie în procesul de implementare a Regulamentului GDPR
În vederea aplicării noilor reguli, organizațiile trebuie să realizeze un audit asupra soluțiilor și proceselor actuale de protecție a datelor și să se axeze pe acestea. Auditul trebuie să redea datele colectate de la persoane fizice, existența unor proceduri adecvate de consimțământ, unde sunt stocate datele, cine are acces la aceste informații, cum este asigurată integritatea datelor cu caracter personal etc. Pe baza informațiilor aflate va fi consolidat un plan solid de aplicare a noiilor reglementări și împărtășirea informațiilor cu toate părțile implicate în acest proces.
Să vedem care este planul pentru implementarea Regulamentul GDPR:
Execuție disciplinată
Strategia nu are niciun impact dacă execuția nu este una disciplinată. Știind soluțiile de securitate care trebuie implementate în vederea asigurării protecției datelor nu presupune în mod implicit o implementare ușoară a reglementărilor. Există numeroși factori care pot afecta execuția strategiei, iar factorul uman este cel mai important. Un exemplu simplu ar fi desemnarea unui responsabil cu protecția datelor. Organizațiile au o decizie greu de luat, luand în considerare nivelul de responsabilitate atribuit unui DPO. El trebuie să se asigure ca regulile impuse de Regulamentul GDPR sunt respectate. Rolul sau este unul important și cel care presupune un grad ridicat de dificultate, având de-a face atat cu angajații, cât și cu managerii departamentelor.
Un alt articol care are un grad ridicat de dificultate este cel referitor la transferurile transfrontaliere care se extind mai departe de frontierele fizice unde este situat sediul sau sucursala unei organizații. O companie care operează în Germania poate avea clienti în Franța, USA sau în orice alta țară. Aceasta are o mare responsabilitate în ceea ce privește securitatea datelor individizilor. Regulamentul GDPR se va aplica tuturor organizațiilor care procesează datelor cetățenilor europeni, chiar dacă nu fac activitatea organizației nu se desfășoară în cadrul unui stat membru al Uniunii Europeane. Așadar, chiar dacă afacerea ta nu are sediul în UE, vei fi nevoit să respecți Regulamentul GDPR.
Gradul de conștientizare
Ofițerii de Securitate, Managerii IT, directorii executivi, directorii de sucursale, etc. trebuie să fie informați cu privire la schimbările legale pe care le aduce și le impune Regulamentul GDPR. Aceștia trebuie să se asigure că noile reglementări sunt explicate intr-o manieră cât se poate de simplă și în conformitate cu GDPR.
Cu cât obiectivele sunt mai clar definite, cu atât oamenii vor înțelege mai ușor rolul GDPR-ului și vor acționa în conformitate cu prevederile regulamentului. Managerii de departamente, managerii generali și alte persoane cu putere de decizie în cadrul unei organizații trebuie să parcurgă cu atenție regulamentul și să se consulte cu un avocat pentru a se informa cu privire la obligațiile care le survin după 25.05.2018.
Terminologia utilizată în cadrul acestor tipuri de reglementări sunt adesea dificil de înțeles, motiv pentru care se recomandă obținerea unui aviz de la un avocat. Conștientizarea deplină a obligațiilor aduse organizațiilor privind protecția datelor reprezintă o baza solidă pentru etapele următoare.
Implementarea Regulamentului GDPR trebuie tratată ca un proiect important, în cadrul căruia sunt definite clar fazele de inițiere și planificare.
Obține sfatul unui avocat
Misiunea organizațiilor este de a identifica ce date colectează și procesează, incluzând informații precum locația, transferul informației de la punctul A la B, sistemele care le procesează etc. Acționând în acest fel, acestea au posibilitatea de a identifica ce instrumente sunt necesare în vederea protecției datelor cu caracter personal sau ce măsuri trebuie luate în vederea respectării Regulamentului GDPR.
Un rol important urmează să-l joace încorporarea noilor cerințe privind confindențialitatea prin design (privacy by design) și în mod implicit (privacy by default). Acest lucru va solicita companiilor care oferă servicii și produse să includă caracteristicile specifice privind confidențialitatea și securitatea datelor de la faza incipientă, până la faza de dezvoltare. Acest lucru va reprezenta o adevarată provocare pentru dezvoltatorii de aplicații mobile și sectorul IoT (Internet of Things).
Noul regulament va avea un factor decisiv în cadrul organizațiilor în vederea asocierii protecției datelor cu inovația, lucru care va duce la dezoltarea unor produse inovative cu particularități specifice protecției datelor.
Principiul confidențialității prin design se va aplica și proceselor, nu doar serviciilor și produselor oferite de companii. Organizațiile trebuie să țină cont de protecția datelor în cadrul tuturor proceselor operaționale, logistice, de comunicare internă, resurse umane sau orice alt proces care implică securitatea datelor personale. Un exemplu relevant în acest caz este dezvoltarea unui departament de Resurse Umane. De exemplu, în momentul organizării un departament de Reserse Umane trebuie respectate o serie de elemente, precum numărul persoanelor din organizație, responsabilitățile acestorea și procedurile care trebuie respectate. Pe lângă acestea, un rol esențial îl are stabilirea unei politici de confidențialitate care urmează să fie aplicată uniform tuturor angajaților.
6. Cum poate să te ajute soluția Endpoint Protector în implementarea eficientă a Regulamentului GDPR
Regulamentul GDPR poate crea dificultăți în implementarea noilor reglementări, însă după aceasta etapă incipientă, organizațiile vor putea remarca avantajele acestui efort. Pătrunderea pe noi piețe în Europa va fi mult mai facilă, deoarece acest regulament va fi similar cu cel din țara lor de origine. Comisia Europeană prezintă într-un comunicat de presă modul în care companiile pot reduce costurile organizaționale datorită acestei reforme din mediul digital.
Un lanț de magazine cu sediul central în Franta și cu francize în alte 14 țări membre ale Uniunii Europene va colecta datele personale ale clienților și le va transfera la sediul central din Franța pentru o prelucrare ulterioară.
Cu actualele reguli:Legislațiile privind protecția datelor cu caracter personal din Franța s-ar aplica în vederea prelucrării datelor efectuate la sediul central, dar francizele ar urma să raporteze autorității din țara unde-si desfășoară activitatea, atestând că prelucrează datele în conformitate cu legislația aflată în vigoare. În cazul de față, sediul principal trebuie să se consulte cu o echipă de avocați locali pentru toate francizele sale, pentru a se asigura că respectă legea. Costurile totale generate de cerințele de raportare în toate țările pot depăși suma de 12.000 de euro.
Cu Regulamentul GDPR:Regulamentul GDPR se va aplica la fel în toate cele 14 țări membre ale Uniunii Eurpene - va exista o singură lege. Acest lucru va elimina necesitatea consultării unei echipe de avocați din țara unde organizația își desfășoară activitatea pentru asigurarea desfășurării optime a activității francizelor. Rezultatul este reducerea costurilor și asigurarea cadrului legislativ.
7. Concluzii
Regulamentul GDPR provoacă agitație în cadrul mediului de afaceri, cu precădere în cadrul comapaniilor europene. Cu toate acestea, o mare parte dintre acestea nu-și cunosc cu certitudine poziția de controlor sau procesator al datelor cu caracter privat. Multe organizații amână implementarea unor reguli impuse de GDPR, deoarece sunt copleșite de volumul uriaș de schimbări sau pur și simplu nu cunosc cu certitudine care sunt implicațiile și care sunt pașii pe care trebuie să-i urmeze.
Indiferent de poziția în care te afli, până în luna mai 2018 trebuie să te asiguri că respecți noile reglementări privind protecția datelor și că ai capacitatea de a dovedi în orice momement că acestea au fost implementate corect, asigurând siguranța activității și protecția datelor angajaților, clienților, partenerilor și alte părți terțe.
În cazul în care nu ai demarat până în prezent un proiect privind implementarea Regulamentului GDPR, trebuie să realizezi un audit intern și să stabilești care sunt pașii pe care trebuie să-i urmezi.
Alege cu atenție software-ul care să te ajute în fiecare etapă a procesului și asigură-te în permanență că acest proces este compatibil cu particularitățile organizației tale, cadrul legal și factorul uman.
Cum te poate ajuta Endpoint Protector să respecți reglementările GDPR?
Pe scurt:
Mai multe detalii:
Elementele cheie ale auditului
În fazele inițiale ale procesului de implementare a Regulamentului GDPR poate fi folosită solutia de protecție a datelor Endpoint Protector și Device Control (asigură protecția dispozitivelor USB și alte dispozitive de stocare externe) care oferă posibilitatea setarilor unor politici care presupun doar raportarea transferului de date cu carater personal, astfel încât datele transferate către părți din afare companiei sunt urmarite și raportate. Obținerea de informații relevante despre utilizatorii care transfera date confidențiale, cum ar fi cele cu carater personal, numere de carduri de credit și alte date, joacă un rol important în cadrul tuturor organizațiilor.
Restricții privind transferul de date
După finalizarea auditului este necesară luarea unor masuri de securitate și reducerea vulnerabilităților. Politicile de monitorizare ale solutiei Endpoint Protector pot fi transformate în politici restrictive, blocand transferul de fișiere , datele neautorizate prin copiere/ lipire, capturi de ecran etc, prin diferite canale de transfer. Setările pot fi făcute în funcție de utilizator, computer sau grupuri care fac parte din același departament sau organizație. Endpoint Protector DLP vine în sprijinul securizării datelor personale ale indivizilor, acestea fiind protejate impotriva scurgerilor și furturilor de date, oferind servicii de filtrarea a informațiilor și control USB.
Protecția rețelelor de tip cross-platform
Regulamentul GDPR accentuează importanta asigurării confindențialitatii datelor, fără a oferii informații privind sistemul de operare (Windows, macOS, Linux, iOS, Android, Windows Phone etc) sau canalele de comunicare (email, partajare fisiere în cloud, dispozitive externe etc). În esența, nu contează sistemul de operare sau canalul de comunicare folosit, fiindcă înainte de toate este imporatant ca datele să fie securizate. Așadar, orice instrument de securitate utilizat trebuie să asigure confidențialitatea și securitatea datelor.
Primește ultima doză de
știri și informații despreGDPR
știri și informații despre
