GDPR Ready? AMR 1 AN!

 

Cât suntem de pregătiți pentru noul Regulament de Protecție a Datelor Personale?

Nisipul din clepsidră se efilează ireversibil. Fix peste un an (fără câteva zile deja), pe 25 mai 2018, va intra in vigoare noul regulament privitor la protecția datelor personale propus de Uniunea Europeană. Votat de Parlamentul European în aprilie anul trecut, Regulamentul 679/ 2016 privind protecția datelor personale și libera circulație a acestor date este cunoscut sub denumirea generică de GDPR, adică mai pe înțelesul nostru Regulamentul General privind protecția Datelor Personale.

Parlamentul European a acordat procesatorilor de date personale un răgaz de 2 ani, suficient pentru a se pune la punct cu noile reglementări. Pentru a sublinia importanța acestui demers, au fost anunțate penalități usturătoare pentru cei care nu vor putea deveni compatibili. Mulți analiști spun că cifrele vehiculate ”sunt așa, doar de înfricoșare”, dar cine își poate permite să riște o amendă de 10 milioane de euro sau minim 2% din cifra de afaceri pe un an?

De ce este atât de important Regulamentul 679/2016?

În primul rând pentru că reprezintă o inițiativă europeană la care vor trebui să se alinieze atât operatorii de date personale din Uniunea Europeană, cât și toți ceilalți care sunt implicați în schimburi de date cu aceștia.

Regulamentul a apărut ca o reacție firească la stabilirea unor noi cadre de reglementare unitară, nu numai pentru viitorul digital al Europei, ci și pentru a corespunde unor modele de business online, proliferării serviciilor Cloud și rețelelor sociale. Toată această cavalcadă de digitalizare, globalizare și migrare în Cloud pune într-o nouă perspectivă siguranța datelor personale.

Apariția Directivei NIS (Rețeaua și Securitatea Informației) și noul GDPR, oferă noi perspective, dar și o foarte mare responsabilitate, tuturor organizațiilor procesatoare de date personale din UE, precum și întregului ecosistem de afaceri în care acestea sunt angrenate.

Care sunt obiectivele noului regulament?

Prin date cu caracter personal se înțeleg  orice informații privind o persoană fizică identificată sau identificabilă. O persoană fizică identificabilă este aceea care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume,un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice,culturale sau sociale.

În România, noul regulament înlocuiește Legea 667/ 2001. GDPR reprezintă o schimbare fundamentală în legislația UE în ceea ce privește datele și intimitatea personală. Regulamentul are doua obiective majore:

  • Actualizarea legislației privind protecția datelor pentru a reflecta noile comportamentele digitale și valorile societății;
  • Armonizarea regulilor privind protecția datelor la nivelul UE, deoarece vechea Directivă privind Protecția Datelor a fost abordată și implementată în maniere diferite de statele membre, adaptată la propriile culturi, nevoi și preferințe. Asta a influențat o inhibare a comerțului și activităților cross-border, acționând ca o frână în calea unei viitoare piețe unice digitale.

Care sunt activitățile asupra cărora GDPR va avea un impact major?

În primul rând sunt vizați toți operatorii de date. Mulți procesatori de date existenți vor trebui să își schimbe radical procedurile și garanțiile de prelucrare a datelor.

Apoi, orice organizație, indiferent de mărime și domeniu de activitate, care execută activități de procesare a datelor, pentru că noul regulament se aplică datelor personale ale cetățenilor UE, indiferent dacă cel care controlează sau datele are prezență fizică în UE sau nu.

Cine este vizat de noul regulament?

Iată doar câteva exemple de domenii unde există operatori de date personale:

  • financiar bancar: bănci, asiguratori, administratori ai fondurilor de pensii, companii de servicii financiare, societăți de leasing, etc.;
  • utilități: energie, gaze, apă, salubritate, transport public;
  • furnizori de produse și servicii IT: producători de software, furnizori de servicii de telecomunicații, Internet, cablu TV, rețele și servicii de hosting și Cloud, operatori de data centers, operatori de plăți online, magazine online, furnizori de soluții de Securitate HW și SW
  • organizații din sănătate: spitale, policlinici, case de asigurări, instituții de studii clinice, medici de familie, farmacii, etc.;
  • companii comerciale de retail, distribuție, magazine online;
  • organizații media, agenții de marketing și PR, agenții de publicitate, cabinete de consultanță tehnică, economică sau juridică, agenții de jocuri și concursuri, companii de training și cursuri de perfecționare;
  • autorități și instituții publice.

Care sunt direcțiile de acțiune ale operatorilor pentru a asigura implementarea noului regulament?

  • În primul rând elaborarea unui plan de asigurare a tuturor măsurilor necesare pentru îndeplinirea compatibilității;
  • pregătirea aplicării efective a Regulamentului;
  • obținerea resurselor financiare și umane adecvate pentru realizarea efectivă a competențelor solicitate;
  • elaborarea unui Studiu de impact – în cazul procesărilor de date care presupun un risc ridicat pentru viața privată a persoanelor, cum ar fi cele din sănătate;
  • înființarea funcției Data Protection Officer (DPO), ca persoană care răspunde de/ coordonează siguranța datelor personale la nivelul operatorului de date;
  • conștientizarea riscurilor asociate cu penalitățile extrem de severe anunțate pentru neconformare – 10 – 20 milioane de euro sau între 2% şi 4% din cifra de afaceri la nivel internațional.

Cum au evoluat preocupările legate de GDPR în România?

După febra inițială a anunțului legat de aprobarea Regulamentului 679/ 2016, trebuie să recunoaștem că a fost un prim an destul de liniștit. Ne-am fi așteptat la o mobilizare mai mare, încă din vara lui 2016. Cu puține excepții pe care le vom enumera mai jos, activitățile au fost destul de discrete, fără să se bucure de o reflectare adecvată în presă, pe grupurile de discuții sau în mediile sociale… Am discutat cu diferiți reprezentanți ai organismelor guvernamentale care ar trebui să manifeste o implicare mai activă în asigurarea unui bun climat pentru adoptarea noului regulament. Aproape de fiecare dată mi s-a explicat că problema e conștientizată și că va fi tratată cu toată considerația. Nici implicarea segmentului privat nu a fost prea dinamică în primul an. Puținele dezbateri publice din 2016 au vizat cu precădere discutarea textului de regulament și, foarte puțin, măsurile care s-ar impune.

Avem o Autoritate Națională

În România, organismul care coordonează problemele legate de securitatea datelor personale este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Citând din prezentarea generală a instituției și a obiectivului de activitate publicate pe site-ul Autorității http://www.dataprotection.ro/:

”Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în calitate de autoritate publică centrală autonomă cu competență generală în domeniul protecției datelor personale, reprezintă garantul respectării drepturilor fundamentale la viaţă privată și la protecţia datelor personale, statuate cu precădere de art. 7 și 8 din Carta Drepturilor Fundamentale a Uniunii Europene, de art. 16 din Tratatul privind Funcționarea Uniunii Europene și de art. 8 din Convenția europeană pentru apărarea drepturilor omului și libertăților fundamentale.”

Din aceeași sursă reținem faptul că Autoritatea își asumă rolul extrem de important de catalizator al tuturor eforturilor de aplicare a prevederilor noului Regulament care implică ”o evaluare complexă a instrumentelor specifice asigurării protecției datelor personale, în scopul adaptării cadrului normativ național și pregătirii instituționale pentru aplicarea noilor reglementări europene, inclusiv sub aspectul realizării unei cooperării eficiente cu Comitetul european pentru protecția datelor și cu celelalte autorități în domeniu din Uniunea Europeană.”

Pe pagina de Web dedicată noului Regulament UE 679/ 2016 este publicat un abstract legat de noua legislație, cu referire specială la:

  • Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)
  • Directiva (UE) 2016/680 referitoare la protecția datelor personale în cadrul activităţilor specifice desfășurate de autoritățile de aplicare a legii.

precum și linkuri către o serie de documente importante:

Toate documentele la care se face referire sunt redactate în limba română, pot fi consultate și descărcate online.

O altă secțiune importantă a paginii dedicate noilor reglementări europene se referă la activitatea Grupului de Lucru Articol 29. Acest grup de lucru a fost creat în temeiul Articolului 29 din Directiva 95/46/CE și este un organ consultativ european independent care se ocupă cu protecția și confidențialitatea datelor.

Art. 20 din Regulamentul General privind Protecția Datelor (GDPR) introduce un nou drept la portabilitatea datelor. Acest drept permite persoanelor vizate să primească datele cu caracter personal pe care le-au furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și să transmită respectivele date altui operator, fără obstacole.

Potrivit GDPR, este obligatoriu ca anumiți operatori și persoane împuternicite de operatori să desemneze un ofițer de protecție a datelor (DPO). În această situație se află toate autoritățile și organismele publice (indiferent de tipul datelor prelucrate), precum și  celelalte organizații care monitorizează în mod sistematic și pe scară largă persoanele fizice sau prelucrează categorii speciale de date cu caracter personal pe scară largă. Chiar și în situația în care GDPR nu impune în mod expres numirea unui DPO, organizațiile pot găsi ca fiind utilă desemnarea unui DPO în mod voluntar. Grupul de Lucru Articolul 29 („WP29”) încurajează aceste eforturi voluntare.

Cele mai importante documente care reprezintă activitățile specifice acestui grup de lucru sunt o serie de Ghiduri destinate asigurării unei aplicări unitare, realizate prin consultări publice care au demarat în luna decembrie a anului trecut și au fost adoptate în cadrul Plenarei din luna aprilie 2017 a Grupului de Lucru Art. 29 :

E important de menționat că în cursul aceleiași Plenare, s-a adoptat Opinia nr. 1/2017 privind propunerea de Regulament a Comisiei Europene referitor la comunicațiile electronice – Regulament ePrivacy. Acest Regulament are menirea de a defini politicile de protecție a comunicațiilor și echipamentele terminale, care au caracteristici particulare care nu sunt adresate de GDPR.

În aceeași Plenară a fost adoptată și o Declarație a Grupului de Lucru Art. 29 pentru revizuirea Regulamentului 45/2001 ce viza protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organismele comunitare și libera circulație a acestor date.

Continuând descrierea conținutului paginii de Internet a ANSPDCP, foarte importantă este prezentarea – sub formă de comunicate de presă, a principalelor activități de popularizare a Regulamentului  la care Autoritatea a participat sau pe care le-a organizat începând cu vara anului 2016.

Dar despre aceste activități de promovare și ce alte tipuri de acțiuni sunt proiectate pentru perioada următoare vom scrie într-un viitor articol.

Ce alte tipuri de acțiuni ar mai fi utile pentru operatorii de date din România?

Mai este un an și sunt încă foarte multe lucruri de făcut. Cu toate eforturile inițiate de ANSPDCP, comunitatea operatorilor de date resimte nevoia acută a unor acțiuni mai ample, care să ofere răspunsuri mai clare privitoare la ceea ce au efectiv de făcut. Din discuțiile avute cu membrii diferitelor comunități din industria IT&C, reiese că în piață există încă multe incertitudini. Mulți operatori de date nu știu încă ce au de făcut, iar furnizorii de servicii Internet și Cloud au și mai multe probleme legate de natura transmiterii, prelucrării, stocării și procesării datelor.

INIȚIATIVA ”GDPR READY”

Pornind de la importanța majoră a asigurării unei tranziții unitare, la scară națională, către îndeplinirea condițiilor de compatibilitate cu Regulamentul 679/ 2016 de către marea majoritate a operatorilor de date personale, ne-am gândit la lansarea unei inițiative ”GDPR Ready”, care să susțină și să completeze eforturile de promovare și conștientizare depuse de Autoritate și alte instituții publice și private.

Această inițiativă își propune să catalizeze interesul celor implicați în acțiuni de asigurare a compatibilității cu Regulamentul 679/ 2016: organizații guvernamentale și private, asociații profesionale, companii de consultanță, instituții de cercetare și educație, furnizori de soluții și servicii IT&C, operatori de centre de date, case de software, reselleri și distribuitori, magazine online, și alții…

Ce tipuri de acțiuni trebuie extinse și aprofundate la nivelul tuturor operatorilor de date? 

Comunitățile și industriile simt nevoia acută să cunoască mai bine ce au de făcut și să înceapă activitățile ce vor asigura premisele de obținere a conformității. De aceea, principalele activități care vor fi propuse și efectuate sub umbrela inițiativei ”GDPR Ready” vor avea ca obiectiv:

  • Conștientizarea importanței GDPR în contextul transformărilor digitale
  • Înțelegerea noilor prevederi ale GDPR
  • De ce e nevoie ca operatorii de date personale să devină compatibili cu noile reglementări
  • Care sunt sancțiunile
  • Care sunt problemele pe care le au de rezolvat operatorii de date personale ce oferă servicii online sau bazate pe Cloud
  • Care sunt problemele legale și administrative
  • Care sunt problemele tehnice și operaționale
  • Care sunt pașii pentru pregătirea și obținerea compatibilității
  • Cine ne consiliază
  • Cine ne auditează

Ce acțiuni va iniția și susține cloud☁mania în cadrul inițiativei ”GDPR Ready”?

  • Articole și materiale de popularizare ale inițiativelor publice ANSPDCP, MCTI, ministere
  • Popularizarea inițiativelor private: vendori și furnizori IT&C, furnizori de servicii, consultanță și audit
  • Susținerea de prezentări și workshopuri la întrunirile asociațiilor profesionale și evenimente din industria IT
  • O atenție specială va fi acordată în mod firesc măsurilor speciale pe care trebuie să le aibă în vedere furnizorii de servicii Cloud, operatorii telecom și data networking, providerii de servicii Internet, producătorii independenți de software, operatorii de servicii data center, procesatorii de plăți online, magazinele online, analiștii de date, companiile de data insurance, furnizorii de servicii de securitate, etc

O serie de alte proiecte vor fi demarate în parteneriat cu diferite entități și vor fi anunțate din timp.

Advertisements

About Radu Crahmaliuc
Independent IT&C analyst, digital transformation & Cloud computing evangelist, start-ups developer, freelancer, storyteller, events moderator & keynote speaker

2 Responses to GDPR Ready? AMR 1 AN!

  1. Pingback: IDC Security Roadshow 2017; in Bucharest a Real Show! | cloud☁mania

  2. Pingback: GDPR: Prima sursă de informare – Portalul UE | cloud☁mania

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: