Întrebări frecvente privind conformarea GDPR

Regulamentul european cu privire la protecția datelor cu caracter personal și libera circulație a acestora, în vigoare din 25 mai 2018, este cea mai strictă reglementare pe aceasta temă introdusă vreodată de UE. Constituie un cadru european unic în materie de GDPR, menit să înlocuiască reglementările naționale din aceeași sferă. Scopul său este de a întări și de a da o formă unitară modalităților de colectare și de prelucrare a datelor cu caracter personal în cadrul UE. Fiind un regulament, și nu o directivă europeană, intrarea în vigoare a acestuia s-a produs automat, în toate statele membre, fără alte legi.

După ce au avut la dispoziție aproape 2 ani pentru a implementa GDPR, câte entități din România erau conforme la 26 mai 2018, cu prevederile acesteia? 

 Publicația online TechRepublic a făcut un studiu pe comunitatea de LindedIn a profesioniștilor în privacy și în securitatea informațiilor, care însumează cca 400 000 de membri. Rezultatele arată că, în medie, 60% dintre organizațiile din Europa nu erau conforme cu cerințele regulamentului, la data intrării lui în vigoare. În România cifra este destul de probabil, mult mai mare. 

 Un alt studiu e făcut de vpnMentor, pe 100 de pagini web din fiecare țară, care folosesc module de colectare a informațiilor de la MGIM (furnizor de servicii pentru comunicarea cu clienții). Acesta spune că 34% dintre site-urile care folosesc respectivul serviciu nu respectă prevederile. Iar în România, doar 25% sunt conforme cu reglementările,

Care este procentul conformării la regulament în rândul administratiilor publice?

Instituțiilor publice le este foarte greu să realizeze conformarea, atâta vreme cât măsura în care au reușit să digitalizeze anumite fluxuri este foarte mică și competențele digitale ale angajaților din cadrul lor sunt foarte slabe. În plus, nu au resurse pentru a administra tot ceea ce ține de privacy. Este foarte greu să administreze corect fluxul de informații, câtă vreme folosesc hârtia și nu au spațiu suficient de depozitare sau o cultură privind utilizarea anumitor documente. Problema o constituie alocarea resurselor, când vine vorba de IOT (Internet of Things) și de digitalizarea diverselor domenii de activitate. Fără resurse, n-au cum să administreze corect aceste procese, iar eventualele breșe în materie de securitate nu pot fi cunoscute, prevenite, și nici riscul nu poate fi evaluat corect. Protecția reală a datelor este imposibilă, ele pot să asigure doar o protecție formală, cu proceduri și formalizare prin diferite documente.

Care sunt drepturile persoanelor fizice stabilite de GDPR și cum le respectăm, pentru a evita sancțiunile? 

Drepturile sunt următoarele: 

  • Dreptul de acces, la informații;
  • Dreptul la rectificare a datelor, asociat cu politici de actualizare a datelor; companiile care nu au o asemenea politică încalcă unul dintre cele trei principii de bază ale regulamentului: confidențialitatea, integritatea și accesibilitatea;
  • Dreptul la ștergerea datelor (dreptul de a fi uitat), care nu este un drept absolut: de pildă, pentru actele de angajare, există legi care obligă entitățile să păstreze documentele pentru o perioadă mai mare de timp; și dreptul conex de a fi de-listat din motoarele de căutare;
  • Dreptul la restricționarea prelucrării datelor, prin care putem să-i solicităm unui organism să suspende prelucrarea lor pentru o perioadă, dacă nu există un contract cu prevederi opuse;
  • Dreptul la portabilitate, pentru care datele trebuie să fie într-un format care să poată fi preluat cu ușurință de un alt operator;
  • Dreptul la opoziție, regăsit în contractele comerciale, cu clauză de opoziție: datele pot fi folosite pentru a derula contractul, dar nu și prelucrate în alte scopuri;
  • Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată și profilarea datelor, care este extrem de important, dat fiind că avem deja servicii de recrutare prin care roboții evaluează candidații pentru joburi; acest drept ține de fundamentele care au stat la baza regulamentului și al directivei anterioare: „Declarația universală a drepturilor omului” și „Convenția europeană a drepturilor omului”, cu art. 12, din „Declarație”, care face referire la viața personală, la familie, la domiciliu și la corespondență; și art. 19, despre libertatea opiniilor; și art. 29, care menține un echilibru între cele două.

Pentru evitarea sanctiunilor trebuie în primul rând să cunoaștem regulamentul si să ne raportăm la toate celelalte legi și acte juridice ce reglementează domeniul acesta de activitate(securitatea si protectia datelor)

Legat de practicile de implementare, care sunt principalele provocări, pentru firmele de recrutare, de contabilitate, de asigurare, de consultanță legală etc.? 

 Regulamentul se bazează pe evaluarea riscului. Implementarea se face după anumite standarde folosite pentru evaluarea riscului: ISO 31010 (privind tehnicile de evaluare a riscului), 27001 (privind implementarea practică a controalelor de securitate care să faciliteze dovedirea conformării la GDPR). 

 Implementarea fără evaluarea riscului e un demers ineficient și nu asigură conformitatea cu regulamentul. Evaluarea riscului trebuie făcută permanent, când e introdus un nou serviciu sau o nouă tehnologie în companie. În plus, e imposibil să respecți drepturile persoanelor fără să dovedești că asiguri securitatea informațiilor. A doua e suportul primeia.

 În sfera HR, cele mai mari provocări le vor pune categoriile speciale de date pe care le prelucrează companiile, legate de sănătate, condamnări sau date biometrice. E nevoie de atenție și la monitorizarea angajaților, dincolo de atenția acordată clienților.

Instrumentele de profilare trebuie utilizate cu mare precauție, fiind greu să dovedești obținerea consimțământului în relația angajatangajator. Consimțământul e de evitat aici, pentru că angajatorul are mereu o putere mai mare decât angajatorul. 

 Temeiurile legale pentru procesarea informațiilor trebuie să plece de la anumite obligații si mai ales de la interesul legitim — care trebuie documentat! Consimțământul acordat poate fi oricând retras. Deși pare cel mai facil mijloc de a procesa date cu caracter personal, consimțământul trebuie folosit doar ca alternativa.

 În HR, trebuie, de asemenea, asigurată securitatea informațiilor prin elemente care asigură control asupra datelor: criptarea hard-diskului, autentificarea prin doi factori etc.

 Pentru HR, ce se întâmplă cu bazele de date acumulate înainte de intrarea în vigoare a regulamentului, care nu au consimțământul persoanelor? 

 În mod normal, dacă acele date nu dispun de un temei legal, până la 25 mai 2018, trebuiesc șterse, cu documentarea atentă a ștergerii lor. Pentru CV-uri trebuie stipulat cât timp avem nevoie de ele, cum le-am colectat, ce date conțin, unde le stocăm, cine are acces la ele. E nevoie și de o politică de retenție a acestor date comunicata și candidatului. Dacă politica prevede păstrarea datelor pentru 6 luni, după această perioadă CV-ul trebuie șters automat sau putem să-i trimitem o nouă solicitare candidatului, pentru a-l păstra în baza de date în vederea unor posturi viitoare. 

Care ar fi un termen maxim pentru păstrarea CV-urilor? 

Depinde de firmă, Dar după 1 an de zile, în general, informațiile dintr-un CV nu mai sunt atât de relevante, deci ar trebui șters. Pentru firmele de recrutare ce au o platforma online, ele trebuie șterse automat atunci când utilizatorul își inchide contul. Politica privind procesarea datelor se are la baza la forma contractuală dintre utilizator și platformă.

Pentru contabilitate? 

 Trebuie definită clar calitatea avută: operator sau persoană împuternicită. Firmele care oferă servicii de contabilitate trebuie să se asigure că toate datele sunt primite în baza unui mandat definit foarte clar în contractul de servicii pe care îl au cu beneficiarii, iar acordul privind protecția datelor cu caracter personal care constituie o anexă la contract. Apoi trebuie să se asigure că ceea ce au trecut în contract e respectat prin procedurile și de măsurile tehnice. Trebuie să auditeze infrastructura pe care lucrează, să fie atente ce aplicații software folosesc si să acorde dreptul de acces în aplicații doar persoanelor autorizate.

În condițiile în care art. 22 din regulament restricționează automatizarea și profilarea, care sunt particularitățile implementării GPDR-ului pentru proprietarii site-urilor sau chiar ai magazinelor online? 

 Conformitatea acestora ține de mai multe lucruri, nu doar de instrumentele de automatizare și de profilare. Va apărea o nouă formă a privacy directive, care transpune în zona comunicațiilor electronice principiile setate de regulamentul GDPR. Consimțământul trebuie să aibă același temei și aici. 

 Vor trebui definite foarte clar cookie-urile si obtinut consimtamant pentru a putea fi folosite la automatizare și profilare, iar in acest sens este insuficient un banner de informare.

Cookie-uri primare ce nu colectează date personale si de care orice site are nevoie pentru a asigura servicii informaționale de calitate. 

 Cookie-uri terțe trebuie declarate intr-un mod facil persoanei care interacționează cu pagina pentru a-și da sau nu acordul în privința lor, să se ofere acces la un centru de confidențialitate unde el să le vadă si să afle cât vor sta cookie-urile pe calculatorul lui. Fără acesta, pagina web nu poate face profilare. Avem obligația de a dovedi că există o politică prin care audităm propriul site ( cu ajutorul unor instrumente de automatizare ) în privința cookie-urilor, astfel încât pagina noastră web să fie conformă permanent. 

Ce trebuie să conțină un newsletter, pentru persoanele fizice și juridice, ca să respecte regulamentul? 

Pentru persoane fizice, e nevoie de consimțământul persoanei că vrea să primească informarea, iar orice newsletter trebuie să aibă opțiunea de dezabonare. De asemenea, e neapărat necesar să se verifice adresa de e-mail introdusă de utilizator în formularul de pe site. 

Altă variantă e să asiguri acces pe o platformă ( cum a făcut Facebook ) unde utilizatorul poate să-și acceseze toate datele personale, să le descarce sau să le șteargă. 

Pentru persoanele juridice, nu ai nevoie de consimțământ, pentru că dispui de un temei legal în baza unui contract. Trebuie însă prevăzută și opțiunea de dezabonare. De reținut ca nu se pot trimite și alte informări pentru produse și servicii similare cu cele pentru care s-a obținut consimțământul.

Dacă se obțin datele de contact la un târg și nu prin contract, etic este să notifici persoana când schimbați cărțile de vizită că vei trimite informări. Dacă iei datele de pe internet, din liste publice, acestea sunt de obicei făcute publice de un operator care are un temei legal în baza căruia le-a publicat. 

Regulamentul spune că atunci când se colecteza date din alte surse și nu direct, trebuie notificata persoana în 30 de zile ( legat de modul în care ai intrat în posesia datelor ) si obținut consimțământul.

Fara obținerea consimțământului si fără un temei în baza căruia să trimiți comunicările electronice prin transmiterea de newsletter se intra în sfera „comunicațiilor nesolicitate”.

Ce schimbări sunt de urmărit la furnizorii ( comunicatii, utilitati etc.) in relațiile lor contractuale cu persoanele fizice, pentru a ne asigura că datele personale sunt protejate? 

Furnizorii trebuie să facă eforturi serioase pentru a proteja confidențialitatea datelor legate de consumul nostru iar profilarea, în mod normal, ar trebui să fie interzisă.

În proiectele de IOT se tine cont de modul în care trebuie grupate anumite dispozitive, astfel încât să nu permită identificarea persoanei. Google, când livrează servicii, nu livrează date nominale legate de persoane, livrează anumite eșantioane legate de persoane  care îndeplinesc anumite condiții. În e-marketing dacă nu ai un anumit număr de oameni înscriși pe pagina ta, nu primești acele servicii, pentru că sub 1000 de persoane, există posibilitatea identificării.

Monitorizarea video e posibilă numai în anumite condiții. Care sunt acestea? 

Legea 333 reglementează condițiile de utilizare a acestor sisteme. Nu pot fi instalate fără evaluarea riscului, care are criterii clare legat de ce putem implementa. Proiectantul va ține cont și de contextul în care pot fi utilizate dispozitivele. Nu le folosim pentru monitorizarea angajaților! 

Există o politică foarte clară privind accesul la vizualizarea informațiilor. Doar poliția poate realiza extragerea informațiilor din dispozitive, când sesizăm un incident. Legea ne obligă să păstrăm informațiile 30 de zile; și 3 ani, pe cele care țin de un incident. Nu avem voie să scoatem noi informațiile și să le folosim în alte scopuri decât cele avute.

Cum ne pregătim pentru breșele în materie de securitate, cu ne redresăm după indicente? 

E bine să evaluăm riscurile la care suntem expuși și să avem pregătit un plan de răspuns. In primul rând trebuie sa desemnăm echipa care să răspundă în relația cu autoritățile, cu clienții și cu media in caz de incident. Trebuie să știm foarte clar cine comunică, cine validează mesajele, să colaborăm cu PR ul, cu marketingul, cu departamentul legal și bineînțeles cu IT-ul pentru măsuri imediate de remediere a breșei apărute. Lipsa unui plan duce la măsuri ad-hoc și la greșeli, care pot înrăutăți situația.   În aceste situații, va trebui să notificăm autoritatea în cel mai scurt timp iar iar incidentele se tratează prin diferite măsuri tehnice sau organizatorice funcție de caz.

Trebuie sa notificăm și persoana vizată  ori de cât ori o breșa de securitate pe care am identificat-o presupune un risc major pentru aceasta.

Legat de protejarea copiilor si a adolescenților în mediul virtual, când e nevoie de consimțământul părinților?

Este obligatoriu, pentru copiii sub 16 ani. Iar în unele țări, pentru cei sub 13 ani. Trebuie obținut consimțământul valid al tutorelui sau al părintelui și trebuie verificată identitatea persoanei: debitarea cu o sumă minimă a unui card bancar pe care îl poate deține doar ea. 

Acești copii s-au născut cu tehnologia la îndemână, dar nu au primit instrucțiuni legat de cum se pot proteja. Utilizarea inadecvată a tehnologiei îi poate afecta pe termen lung.

Ca recomandare, este bine sa tinem cont de conceptul data protection by design and by default, ceea ce înseamna introducerea elementelor de privacy din faza de design, operată de un departament de cercetare-dezvoltare.