Ce trebuie să ştie un director executiv (CEO) al unei companii private sau de stat despre regulamentul general privind protecţia datelor
Încă înainte de adoptarea Regulamentului General privind Protecţia Datelor (nr. 679/2016) în aprilie 2016, toţi actorii de pe piaţă ştiau deja că acesta va duce la schimbarea modului de raportare al societăţilor în domeniu.
› Poate societatea să răspundă exigenţelor crescute cu privire la confidenţialitatea şi securitatea datelor?
Regulamentul nu reprezintă un cadru de reglementare complet nou în domeniul protecţiei datelor cu caracter personal, dar introduce suficiente modificări cât să facă efortul de conformare una din priorităţile conducerii societăţilor din toate industriile. Intrat în vigoare pe 24 mai 2016 şi aplicabil din 25 mai 2018, Regulamentul acordă un timp relativ redus pentru asigurarea efortului de adaptare a modului de funcţionare al societăţilor la modificările introduse.
Prima modificare care atrage atenţia este cea privind sancţiunile: raportat la cuantumul sancţiunilor prevăzute în prezent de legislaţia din România, vedem o trecere de la aproximativ 22.000 de euro la sancţiunile de până la 20 de milioane de euro sau 4% din cifra de afaceri globală.
Dar ceea ce preocupă sau ar trebui să preocupe conducerea societăţilor nu este numai cuantumul amenzilor prevăzute de Regulament, ci impactul pe care adaptarea la noile reguli îl va avea atât asupra modului de funcţionare intern al organizaţiei, cât şi asupra tehnologiilor şi aplicaţiilor folosite pentru desfăşurarea activităţilor.
În era digitală, când nu există proces care să nu fie susţinut de aplicaţii şi când utilizarea celor mai noi tehnologii poate fi un avantaj concurenţial, Regulamentul impune conducerii societăţilor să analizeze aceste soluţii nu numai din perspectiva financiară şi tehnică, ci şi raportat la cum aceste aplicaţii şi tehnologii pot asigura respectarea cerinţelor în domeniul protecţiei datelor.
Dar de ce spunem că Regulamentul trebuie să fie o preocupare la nivelul conducerii? Nu o spunem noi, o spune chiar Regulamentul. Unele din cele mai importante modificări sunt menite să responsabilizeze conducerea în ceea ce priveşte efortul de conformare cu cerinţele de protecţie a datelor. Astfel, Regulamentul introduce cerinţa expresă ca societatea care utilizează date în desfăşurarea activităţilor sale să poată demonstra respectarea principiilor generale în domeniu.
Mai mult, Regulamentul impune în anumite cazuri desemnarea unui responsabil cu protecţia datelor. De ex., acest lucru va fi obligatoriu acolo unde societatea derulează activităţi de monitorizare periodică şi sistematică a persoanelor fizice pe scară largă sau când sunt prelucrate categorii de date sensibile, cum ar fi datele de sănătate. Această obligaţie revine şi autorităţilor publice care utilizează date cu caracter personal în desfăşurarea activităţilor lor (chiar dacă o fac în temeiul unor prevederi legale!).
Acest responsabil are un rol de îndrumare şi control al modului în care se asigură protecţia datelor la nivelul organizaţiilor, inclusiv prin cerinţa de a raporta direct către cel mai înalt nivel de conducere al societăţii. Dar asigurarea respectării cerinţelor în domeniu zi de zi revine conducerii societăţii, respectiv persoanelor din cadrul organizaţiei care stabilesc scopul şi mijloacele pentru fiecare operaţiune de prelucrare a datelor în parte. Acest lucru rezultă cu claritate din îndrumarea emisă de Grupul de Lucru Articolul 29 pe marginea rolului responsabilului cu protecţia datelor (în forma revizuită în aprilie 2017). În această îndrumare, se subliniază clar că decizia finală privind abordarea în cazul unor prelucrări este stabilită de conducerea societăţii, dar că aceasta trebuie să asculte opinia responsabilului cu protecţia datelor, chiar dacă în final optează să nu ţină cont de recomandările acestuia.
Dacă principiul responsabilităţii şi responsabilul cu protecţia datelor oferă contextul efortului de conformare, care sunt unele din cerinţele concrete la care directorul general trebuie să se asigure că are răspuns:
› Poate societatea să detalieze în orice moment ce date sunt prelucrate şi pentru ce scopuri?
Regulamentul impune obligaţia menţinerii la nivel intern a unei evidenţe a prelucrărilor, respectiv detalierea fiecărui scop de prelucrare (utilizare, vizualizare, combinare, etc. a datelor). Această nouă obligaţie va reveni majorităţii operatorilor şi este menită să înlocuiască obligaţia curentă de a notifica autoritatea de supraveghere privind operaţiunile de prelucrare. Crearea acestei evidenţe este cu atât mai problematică în România cu cât obligaţia notificării prelucrărilor la autoritatea de supraveghere reprezintă în prezent excepţia, iar nu regula, astfel încât la nivelul organizaţiilor sunt nenumărate operaţiuni de prelucrare care nu sunt complet documentate. Acest lucru este demonstrat de efortul întreprins în prezent de societăţi din multe industrii, inclusiv bancar, asigurări, farma, etc. de a crea această mapare a datelor. Ulterior realizării acestei mapări, provocarea este de a păstra informaţiile actualizate în permanenţă.
Există soluţii de clasificare a datelor cu caracter personal, soluţii care identifică tipurile de date (email, nume, prenume, cookie-uri, adrese IP, informaţii cu caracter genetic sau medical, date legate de contul bancar, etc) şi care le clasifică în functie de nivelul de senzitivitate, contextul utilizării, determină cine este administratorul acelor date, cine are acces la ele şi cum evoluează în timp acest sistem de drepturi şi obligaţii. Administrarea şi clasificarea acestor date se efectuează sub umbrela conceptului de Information Protection.
Enterprise Mobility + Security (EMS)
Azure Information Protection te poate ajuta să clasifici şi să etichetezi datele în momentul creării sau modificării. Apoi, asupra datelor sensibile se pot aplica protecţii (criptare plus autentificare, plus drepturi de utilizare) sau marcaje vizuale. Etichetele de clasificare şi protecţiile sunt permanente, însoţind datele pentru a putea fi identificate şi protejate în permanenţă – indiferent unde sunt stocate sau cu cine sunt partajate.
Office şi Office 365
Prevenirea pierderii datelor (DLP) din Office şi Office 365 poate identifica peste 80 de tipuri comune de date sensibile inclusiv date financiare, date medicale şi informaţii de identificare personală. În plus, DLP permite organizaţiilor să configureze măsurile care vor fi luate după identificare pentru a proteja informaţiile sensibile şi pentru a preveni dezvăluirea accidentală.
Azure
Recomandam acest material despre clasificarea datelor, fiind unul extrem de apreciat în comunităţile interesate de GDPR şi credem că vă va fi util şi dvs. https://gallery.technet.microsoft.com/Data-Classification-for-51252f03
› Poate societatea să indice în orice moment unde se află datele pe care le utilizează, fie ele date ale clienţilor, ale angajaţilor sau ale altor tipuri de persoane fizice?
Evidenţa prelucrărilor trebuie să includă detalii privind unde sunt transferate datele. Mai mult, dacă datele sunt transferate către ţări din afara UE/SEE ce nu asigură un nivel de protecţie adecvat, societatea trebuie să se asigure că a implementat garanţii pentru protecţia datelor. Aceste garanţii pot lua diverse forme, de la contracte încheiate pe baza unor standarde aprobate de Comisia Europeană, la certificări privind măsurile tehnice implementate de entităţile ce primesc datele, la reguli corporatiste obligatorii verificate şi aprobate de autorităţile de supraveghere (aşa-numitele Binding Corporate Rules). Dacă societăţile pot, de regulă, să identifice aceste informaţii în ceea ce priveşte datele stocate pe serverele proprii, lucrurile se complică atunci când sunt folosiţi prestatori de servicii care asistă în desfăşurarea operaţiunilor de prelucrare.
Metodologia de identificare a tuturor surselor de date, dar si a mediilor de stocare se face cu solutii de tip Data Catalog sau Data Classification Toolkit din sistemele moderne de operare pentru servere, iar capabilităţile acestor instrumente de lucru merg până la a genera rapoarte care fac trasabilă orice acţiune de căutare şi identificare, fapt obligatoriu în contextul GDPR.
Pentru a sprijini strategia de guvernare a datelor, serviciile cloud Microsoft sunt dezvoltate prin metodologiile Microsoft Privacy-by-Design şi Privacy-by-Default. Atunci când îţi încredinţezi datele către Azure, Office 365 sau Dynamics 365, rămâi unicul proprietar: reţii dreptul, titlul şi interesul pentru datele stocate în servicii.
Serviciile cloud Microsoft iau măsuri solide pentru a te ajuta să protejezi datele clienţilor împotriva accesului inadecvat sau a utilizării de către persoane neautorizate, după cum se detaliază în Centrul de autorizare Microsoft. Aceste măsuri includ restricţionarea accesului de către personalul şi subcontractorii Microsoft şi definirea atentă a cerinţelor pentru a răspunde la solicitarea datelor clienţilor de către instituţiile guvernamentale. Totuşi, poţi să accesezi datele propriilor clienţi în orice moment şi cu orice motiv.
În plus, redirecţionăm solicitările de date ale instituţiilor guvernamentale pentru a ţi se adresa direct, în afara cazului în care acest lucru este interzis prin lege şi am contestat pe cale oficială încercările instituţiilor guvernamentale de a interzice dezvăluirea unor astfel de solicitări.
Pentru a ne asigura că serviciile cloud Microsoft sunt gestionate corect şi pentru a furniza asigurări clienţilor, serviciile cloud sunt auditate cel puţin anual în baza câtorva standarde globale de confidenţialitate a datelor, inclusiv HIPAA şi HITECH, CSA Star Registry şi câteva standarde ISO. Aceste rapoarte pot fi accesate la adresa –
https://servicetrust.microsoft.com/Documents/ComplianceReports.
Mai multe informaţii în legătură cu reglementările GDPR se regăsesc aici.
› Poate societatea să răspundă în termenul legal la solicitările persoanelor de acces la date? Dar la solicitările de ştergere sau modificare a datelor?
Regulamentul pune un accent deosebit pe drepturile persoanelor vizate. Multe din aceste drepturi (de acces, de ştergere sau de modificare) există şi conform legislaţiei actuale încă din decembrie 2001, când a intrat în vigoare Legea nr 677/2001. Dar odată cu creşterea sancţiunilor, a crescut şi importanţa asigurării unor mecanisme organizatorice şi, mai ales, tehnice, pentru asigurarea implementării corecte şi complete a acestor drepturi. Societăţile nu trebuie să piardă din vedere că cerinţele aferente drepturilor menţionate mai sus trebuie să fie implementate atât în ceea ce priveşte datele din aplicaţiile active, cât şi din sisteme şi aplicaţii ce nu mai sunt folosite în prezent, dar care sunt păstrate pentru evidenţă, îndeplinirea obligaţiilor de arhivare şi alte motive legitime (aşa-numitele sisteme „legacy”). Mai mult, societatea trebuie să fie în măsură să poată demonstra realizarea acestor modificări în cazul unui control sau litigiu.
Este extrem de complicat să adresezi aceste cerinţe GDPR fără instrumentele de tehnologie adecvate, fie că vorbim de infrastructuri fizice, virtuale, medii hibride de stocare a datelor. Orice administrator IT va trebui să îşi servească organizaţia din care face parte, însă nu o poate face fără uneltele de lucru care să îi permită un nivel sporit de transparenţă şi securitate, fie că discutăm de serviciul de mesagerie electronică, serviciul director, baze de date, sisteme integrate de comunicaţie sau diverse aplicaţii, mai mult sau mai puţin actuale. Într-adevăr, printre cele mai semnificative elemente ale GDPR se află drepturile „subiecţilor datelor” stipulate în Articole în Secţiunea 2: Informaţii şi acces la date, Secţiunea 3: Rectificarea şi ştergerea şi Secţiunea 4: Dreptul de a obiecta şi luarea automată a deciziilor în mod individual. Instrumentele de guvernanţă a datelor sunt critice în a satisface aceste cerinţe.
Soluţiile Office 365 au câteva caracteristici care te ajută să gestionezi datele cu caracter personal:
• Caracteristicile de guvernare a datelor din Centrul de securitate şi conformitate Office 365 te ajută să arhivezi şi să păstrezi conţinut în cutii poştale Exchange Online, site-uri SharePoint Online şi locaţii din OneDrive pentru business şi să imporţi date în organizaţia ta din Office 365.
• Caracteristica Reţinere din Office 365 te poate ajuta să gestionezi ciclul de viaţă al e-mailului şi documentelor păstrând conţinutul de care ai nevoie şi eliminând conţinutul după ce nu mai este necesar.
• Guvernarea avansată a datelor utilizează informaţii şi perspective asistate de computer pentru a te ajuta să găseşti, să clasifici, să stabileşti politici şi să iei măsuri pentru a gestiona ciclul de viaţă al datelor care sunt cele mai importante pentru organizaţie.
• Politicile de gestionare a informaţiilor din SharePoint Online îţi permit să controlezi cât de mult este reţinut conţinutul, pentru a verifica ce fac persoanele cu conţinutul şi pentru a adăuga coduri de bare sau etichete la documente.
• Jurnalizarea din Exchange Online te poate ajuta să îndeplineşti cerinţe de conformitate juridică, de reglementare şi organizaţională prin înregistrarea comunicaţiilor prin e-mail.
Regulamentul introduce şi drepturi noi, cum ar fi dreptul la portabilitatea datelor şi la restricţionarea prelucrării. Portabilitatea constă în dreptul persoanei de a primi datele personale care o privesc şi pe care le-a furnizat în format electronic în vederea executării unui contract sau în baza consimţământului într-un format structurat, utilizat în mod curent şi care poate fi citit automat, precum şi de a cere transmiterea acestor date altui operator. Restricţionarea impune adaptarea sistemelor operatorului pentru a permite suspendarea prelucrării în anumite cazuri, cum ar fi atunci când persoana contestă exactitatea datelor deţinute de operator. Conducerea societăţii este obligată să se asigure că aplicaţiile şi sistemele folosite pentru prelucrare pot răspunde acestor cerinţe, atunci când acestea devin aplicabile.
› Poate societatea să răspundă exigenţelor crescute cu privire la confidenţialitatea şi securitatea datelor?
Regulamentul extinde foarte mult ceea ce înainte era o obligaţie generică de a asigura confidenţialitatea datelor. Astfel:
• Securitatea datelor este ridicată la rang de principiu juridic, iar conţinutul acestei obligaţii este extins în mod expres pentru a include şi integritatea, disponibilitatea şi rezistenţa continuă a sistemelor, capacitatea de a restabili disponibilitatea datelor în caz de incident, precum şi testarea şi evaluarea periodică a eficacităţii tehnice şi organizatorice.
Asta înseamnă că organizaţia trebuie să evalueze permanent pericolele ce îi pot afecta sistemele şi să ia măsuri pentru adresarea acestor riscuri. Un exemplu ar fi modul în care organizaţiile reacţionează la riscuri cum ar fi atacurile cibernetice. Dacă până în prezent apariţia unor ameninţări de genul atacurilor cibernetice (WannaCry fiind numai unul dintre exemplele recente ce pot fi date) nu declanşa în mod automat o verificare a măsurilor de securitate la nivelul organizaţiei (deşi acest lucru ar fi trebuit să se întâmple), în viitor asemenea riscuri, odată identificate, trebuie să declanşeze în mod automat o reanalizare a măsurilor deja implementate, reanalizare care trebuie documentată.
• Această analiză este cu atât mai importantă în condiţiile în care organizaţia va avea obligaţia notificării autorităţii de supraveghere cu privire la orice incidente de securitate ce afectează datele cu caracter personal. Persoanele vizate vor trebui, de asemenea, informate, în cazul în care incidentul poate antrena riscuri semnificative pentru persoanele vizate. De exemplu, dacă un incident ar duce la dezvăluirea datelor de acces la conturile clienţilor unei bănci, acest incident trebuie notificat de îndată persoanelor vizate, iar autorităţii în cel mult 72 de ore de la luarea la cunoştinţă a acestui incident. Întrebarea la care trebuie să răspundă fiecare director general este în ce măsura organizaţia sa este pregătită pentru identificarea, evaluarea şi notificarea acestor incidente în termenul scurt impus de regulament. Regulamentul exceptează de la notificare incidentele ce nu sunt susceptibile să antreneze riscuri pentru persoanele vizate. Dar pentru a determina acest lucru (în cele 72 de ore în care trebuie făcută această determinare), conducerea trebuie să ştie în fiecare moment ce măsuri de securitate sunt implementate cu privire la oricare set de date. Aceste măsuri pot fi foarte variate, de la criptare sau presudonimizare, la soluţii de remote whipe pentru echipamentele mobile puse la dispoziţia angajaţilor, la condiţionarea accesului la aplicaţii în care sunt stocate date pe bază de soluţii VPN şi la soluţii de data loss prevenţion (DPL).
• În procesul de selectare a prestatorilor de servicii care oferă asistenţă în desfăşurarea operaţiunilor de prelucrare se impune expres obligaţia ca aceştia să ofere garanţii suficiente că pot asigura respectarea cerinţelor privind protecţia datelor. Dar cum pot fi realizate aceste verificări în practică? Includerea unor cerinţe exprese în caietele de sarcini e o variantă, implementarea unor chestionare de completat de către potenţialii prestatori este o alta. De asemenea, pentru prelucrările sensibile se poate impune realizarea unui audit prealabil.
• Iar această obligaţie nu se termină odată cu semnarea contractului. Pe tot parcursul relaţiei contractuale cu prestatorul, societatea trebuie să verifice conformarea acestuia cu cerinţele de prelucrare a datelor, să emită instrucţiuni documentate privind cum ar trebui prestatorul să prelucreze datele şi cum ar trebui să procedeze în cazul unui incident de securitate.
• Mai mult, conducerea trebuie să se asigure că orice achiziţie sau dezvoltare a unor aplicaţii sau procese noi răspunde cerinţelor de a asigura protecţia datelor din momentul conceperii şi în mod implicit (privacy by design / privacy by default).
• Astfel, soluţiile alese trebuie să poată fi dimensionate şi configurate într-un mod în care folosirea lor să nu impună prelucrarea unor date suplimentare celor strict necesare pentru realizarea scopurilor urmărite, să permită gestionarea drepturilor persoanelor vizate, inclusiv dreptul de portabilitate şi restricţionare, să protejeze datele (inclusiv prin pseudonimizare), etc. Mai mult, soluţiile trebuie să fie configurate astfel încât să asigure respectarea cerinţelor din domeniu (privacy by default). În fiecare caz, decizia trebuie să se bazeze pe stadiul actual al tehnologiei, costurile implementării, şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscurile pentru drepturile şi libertăţile persoanelor fizice pe care le prezintă prelucrarea
Toate cerinţele de mai sus vor stabili pentru conducere noi priorităţi în procesul de luare a deciziilor privind implementarea unor procese sau aplicaţii noi. Dacă până acum analiza privind conformarea cu cerinţele de protecţia datelor se făcea ulterior luării unor decizii de achiziţie şi / sau implementare, de acum încolo, analizarea şi adresarea acestora se va face obligatoriu înainte de luarea oricărei decizii de acest fel. Iar până la 25 mai 2018, o mare parte din efortul conducerilor ar trebui direcţionat spre identificarea soluţiilor cele mai potrivite pentru adresarea acestor cerinţe cu impact cât mai mic pentru funcţionarea de zi cu zi a organizaţiilor pe care le conduc.
Acest material editorial face parte dintr-o campanie pe tema Regulamentului General privind Protecţia Datelor realizată de Microsoft cu sprijinul Ziarului Financiar.