Abordarea GDPR prin prisma unei experiențe de 10 ani

Fernanda Velter

Fernanda Velter

Fernanda Velter are o experiență de peste 10 ani în domeniul protecției și securității datelor în cadrul IBM, unde deține la ora actuală funcții de GDPR Readiness Coordinator for Europe CiCs, Security and Privacy Practice Lead, precum și Data Security&Privacy Center of Competency Leader. Opiniile prezentate în acest articol reprezintă recomandările personale, în calitate de specialist GDPR nu reflectă în nicio circumstanță poziția oficială a IBM.

 

Noțiunea de protecție a datelor cu caracter personal nu este nouă în spațiul Uniunii Europene. Aceasta a fost introdusă încă din 1995, prin directiva 95/46/EC.

Ceea ce aduce nou GDPR sunt în primul rând amenzile usturătoare și drepturile mult mai bine definite ale posesorilor de date. Pentru abordarea GDPR, companiile trebuie să implice toate nivelele de management din organizație. O amenda de 20 milioane de EUR sau 4% din cifra de afaceri va afecta întreaga companie, atât din punct de vedere financiar, al imaginii companiei, dar și din punct de vedere al culturii și climatului organizațional.

Departamentul juridic se confruntă prin aceasta lege cu noțiuni și abordări noi ale activităților companiei, și va avea nevoie de suportul tuturor departamentelor: HR, IT, operațional, producție, financiar, marketing, comunicații. Bineînțeles că efortul administrativ va crește pe măsură ce structura companiei, valoarea tranzacțiilor și numărul de angajați crește.

Cele mai multe companii vor avea rolul de operator de date – datorită colectării datelor angajaților, dar și prin activitatea din segmentul business2consumer. Companiile care au acces la date personale operate de clienții lor, în segmentul business2business, vor avea rolul de procesator.

Pentru a respecta obligațiile aferente, atât în rolul de operator, cât și cel de procesator, primul pas ar trebui sa fie reprezentat de identificarea datelor personale la care are acces compania prin diferitele activități, a proceselor prin care acestea sunt accesate/procesate/stocate și a mediilor/aplicațiilor de procesare a datelor. În acest proces trebuie să înțelegem că vorbim nu numai despre datele personale ale angajaților companiei, ci despre orice fel de date personale la care există acces: clienți, subcontractori, chiar și angajați ai autorităților locale.

După acest pas, este indicat să încercam pe cât putem să minimizam cantitatea de date personale la care avem acces (întotdeauna întrebați “de ce este nevoie de acest acces?”) prin implementarea unor metode de mascare (un simplu număr de identificare poate înlocui numele și prenumele angajatului) sau cel mai indicat, metode avansate de anonimizare.

Suntem conștienți că, nu numai din motive legislative, accesul la date personale nu poate fi eliminat total. Companiile trebuie să implementeze procese pentru protejarea acestor date de accesul neautorizat și folosirea în alte scopuri decât cel intenționat. De asemenea, operatorii sunt primar responsabili pentru obținerea acordului subiecților de date pentru colectarea, procesarea si stocarea datelor în condițiile reale în care se realizează aceste activități (de exemplu stocarea datelor se face în cloud, pe un server din Oceanul Atlantic).

Controlorii de asemenea trebuie să se asigure că toți procesatorii și sub-procesatorii (furnizorii procesatorilor, până la ultimul nivel) au procese implementate pentru respectarea obligațiilor impuse de GDPR acestora, așa numitele măsuri tehnice și organizaționale. Este dreptul controlorilor de a audita metodele de implementare ale măsurilor tehnice și organizaționale ale procesatorilor, fie prin departamentul propriu de audit, fie prin auditori externi. Aici intervin din nou costuri, care de acum vor trebui prevăzute în bugetele anuale ale companiilor.

Procesatorii au de asemenea acest drept de audit fata de furnizorii lor și mai mult decât atât, cerințele controlorilor vor trebui implementate până la ultimul nivel de subcontractare, dacă nu sunt asigurate de către primul procesator (de exemplu, semnarea de acorduri de confidențialitate).

Procesatorul trebuie să decidă dacă își va exercita dreptul de audit prin efectuarea lui doar la primul nivel de subcontractare și va accepta din partea acestui nivel o declarație de conformitate, sau va efectua auditul până la ultimul nivel de subcontractare.

În încheiere, un ultim sfat pentru a asigura protejarea companiilor dumneavoastră: nu este de ajuns să faceți un addendum la contractele existente care doar să facă referire la GDPR. Este indicat sa aveți cât mai detaliat descrise categoriile de date la care aveți/dați acces, subiecții de date ale căror date le controlați/procesați, tipurile de activități efectuate cu aceste date și măsurile tehnice și organizatorice care trebuie implementate.

Acest articol a fost publicat în ”Ghidul Practic GDPR” din cadrul Catalogului Cloud Computing, ed. A 8-a, București, martie 2018, pag. 64-65. 

Advertisements

Avem ISO 27001: ce ne mai trebuie pentru alinierea GDPR?

 

GDPR încurajează utilizarea unor sisteme de certificare pentru a demonstra că organizația gestionează în mod activ securitatea datelor în conformitate cu cele mai bune practici internaționale. Cei care cunosc standardul 27001 pentru securitatea informațiilor spun că acesta se ”potrivește mănușă” cerințelor de bază pentru asigurarea securității datelor personale și prelucrării acestora. Unii chiar afirmă că foarte puține dintre controalele prevăzute de ISO 27001 nu își regăsesc echivalentul în cele 99 de articole din GDPR. Cu toate acestea, acest standard nu apare nici măcar o dată menționat în textul GDPR publicat în aprilie 2016, iar cunoscătorii afirmă că implementarea lui nu este suficientă pentru alinierea la GDPR. Haideți să vedem cum ne ajută ISO 27001 și mai ales ce ar mai avea de făcut pentru GDPR organizațiile care au implementat deja acest standard.

În GDPR se fac numeroase referințe la importanța sistemelor de certificare pentru atingerea mai rapidă a conformității.  În articolul 42, se încurajează ”instituirea de mecanisme de certificare în domeniul protecţiei datelor, precum şi de sigilii şi mărci în acest domeniu, care să permită demonstrarea faptului că operaţiunile de prelucrare efectuate de operatori şi de persoanele împuternicite de operatori respectă prezentul regulament.”

Ce este ISO 27001?

ISO 27001 este standardul internațional de bune practici pentru securitatea informațiilor și cuprinde cele trei aspecte esențiale ale unui regim comprehensiv de securitate a informațiilor: oameni, procese și tehnologie. Prin această abordare tridimensională la punerea în aplicare a măsurilor de protecție a informațiilor, compania se poate apăra nu numai de riscurile bazate pe tehnologie, ci și de alte amenințări mai frecvente, cum ar fi personalul prost informat sau procedurile ineficiente.

Versiunea care a stat la originea actualului standard se numea BS 7799 și a fost publicată în 1995 de Departamentul Comerțului și Industriei (DTI) al Regatului Unit. De atunci, a suferit mai multe iterații până să devină un recunoscut standard industrial. Versiunea actuală a fost creată de către Organizația Internațională pentru Standardizare (ISO) împreună cu Comisia Electrotehnică Internațională (IEC) în 2013. În esență, este o specificație pentru un Sistem de Management al Securității Informațiilor (Information Security Management System – ISMS), pentru a ajuta organizațiile de orice dimensiune, tip sau natura afacerii pentru a gestiona persoane, procese și tehnologie.

Ce au în comun ISO 27001 și GDPR?

Paralela dintre GDPR și ISO 27001 este evidentă atunci când vine vorba de securitatea datelor personale identificabile. Atât pentru respectarea GDPR, cât și pentru ISO 27001 organizațiile sunt obligate să pună în aplicare măsuri de securitate adecvate pentru a asigura confidențialitatea, disponibilitatea și integritatea.

GDPR prevede în mod clar la articolul 32 că “operatorul și procesatorul trebuie să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate adecvat riscului. ISO 27001 oferă mijloacele necesare pentru a asigura această protecție. Există multe puncte în care standardul ISO 27001 poate ajuta companiile să realizeze respectarea acestei reglementări. Iată câteva dintre cele mai relevante.

ISO 27001 este un cadru pentru protecția informațiilor. Potrivit GDPR, datele personale sunt informații critice pe care toate organizațiile trebuie să le protejeze. Desigur, există cerințe GDPR care nu sunt acoperite în mod direct de ISO 27001, dar dacă implementarea standardului ISO 27001 identifică datele personale ca fiind un element de securitate a informațiilor, majoritatea cerințelor GDPR vor fi acoperite.

Formarea unui sistem de management al securității informațiilor (Information Security Management System – ISMS) permite organizațiilor care procesează date cu caracter personal să demonstreze că riscurile pentru datele cu caracter personal sunt revizuite în mod continuu, actualizate și îmbunătățite. Un ISMS stabilit este cadrul perfect pentru gestionarea riscurilor pentru toate activele, inclusiv pentru datele personale și pot oferi asigurări din care reiese că organizația abordează respectarea conformității ISO 27001 și GDPR în mod serios. În unele cazuri, controalele pot fi mapate cu precizie la articolele GDPR, ambele surse partajând un conținut asemănător. În alte cazuri, controalele pot bătători calea, iar conformitatea GDPR poate fi atinsă cu ceva muncă și eforturi suplimentare. Chiar și în cazul în care textul GDPR deviază de la controalele ISO, obiectivele principale nu diferă radical.

Pseudonimizarea și criptarea – Criptarea datelor este recomandată de ISO 27001 ca fiind una dintre măsurile care pot și ar trebui luate pentru a reduce riscurile identificate. ISO 27001 conturează 114 controale care pot fi utilizate pentru a reduce riscurile de securitate a informațiilor. Deoarece controalele efectuate de o organizație se bazează pe rezultatele unei evaluări a riscurilor conforme ISO 27001, organizația va putea să identifice care active sunt expuse riscului și care necesită criptare pentru a le proteja în mod adecvat.

Evaluarea riscurilor – ISO 27001 mandatează organizațiile să realizeze o evaluare aprofundată a riscurilor prin identificarea amenințărilor și a vulnerabilităților care pot afecta activitățile de informare ale unei organizații și să ia măsuri pentru a asigura confidențialitatea, disponibilitatea și integritatea acestor date. GDPR cere în mod special o evaluare a riscurilor pentru a se asigura că o organizație a identificat riscuri care pot afecta datele cu caracter personal. În conformitate cu controlul A.8.2.1 (Clasificarea informațiilor): “Informațiile trebuie clasificate în funcție de cerințele legale, valoare, critică și sensibilitate față de dezvăluirea sau modificarea neautorizată.”

Măsuri adecvate pentru risc – Spre deosebire de legislația actuală privind protecția datelor, GDPR oferă sugestii specifice pentru ce tipuri de acțiuni de securitate ar putea fi considerate “adecvate pentru risc “, inclusiv:

  • Pseudonimizarea și criptarea datelor cu caracter personal;
  • Abilitatea de a asigura confidențialitatea, integritatea, disponibilitatea și reziliența sistemelor de prelucrare și Servicii;
  • Abilitatea de a restabili disponibilitatea și accesul la datele personale în timp util, în cazul unei situații fizice sau incident tehnic;
  • Un proces de testare, evaluare periodică pentru eficacitatea măsurilor tehnice și organizatorice de asigurare a securității procesării.

ISO 27001 cere organizațiilor să implementeze măsuri adecvate prin controalele organizaționale și tehnice pentru a sprijini respectarea acestor cerințe. Controlul A.10.1 specifică cerințele de criptare pentru organizare. Utilizarea criptării și / sau pseudonimizarea pot asigura confidențialitatea informațiilor personale, indiferent dacă acestea sunt folosite în rețea, în tranzit sau pe dispozitive mobile.

A.9 acoperă subiectul controlului accesului, care, dacă este implementat în mod corespunzător, ne va asigura că numai persoanele cu un drept legitim pot accesa informațiile în funcție de nivelul lor de privilegii. În plus, sistemele IT trebuie să fie suficient de rezistente la atacuri externe. Cadrul de control ISO 18.2.3 recomandă companiilor să efectueze teste de vulnerabilitate și teste de penetrare cu grijă, astfel încât sistemele testate să nu fie compromise.

Sursa: Pinterest

Clasificarea informațiilor – Datele sunt în centrul fiecărei afaceri și de aceea clasificarea este atât de importantă. Clasificarea informațiilor asigură manipularea corectă și monitorizarea informațiilor sensibile în interiorul și în afara unei afaceri, aspect critic atunci când este vorba de protejarea celor mai valoroase date.

ISO 27001 nu descrie nivelurile de clasificare – ceea ce ne oferă libertatea de a ne stabili propriile reguli – în funcție de complexitatea fluxurilor de date din organizație. Un număr mare de scurgeri de date sunt accidentale și pot fi evitate printr-o politică de clasificare a datelor prin sensibilizarea utilizatorilor și prevenirea transferului neautorizat al conținutului cu caracter delicat.

Conformitatea – Prin implementarea standardului ISO 27001, datorită controlului A.18.1.1 (Identificarea legislației aplicabile și a cerințelor contractuale) este obligatorie existența unei liste a cerințelor legislative, statutare, de reglementare și contractuale relevante. Cum aproape orice organizație trebuie să fie conformă cu GDPR, Regulamentul va trebui să facă parte din această listă. Controlul A.18.1.4 (Confidențialitatea și protecția informațiilor de identificare personală) reprezintă chiar o substituție a GDPR pentru regiunile unde acesta nu este disponibil.

Notificare privind încălcarea – Companiile vor trebui să notifice autoritățile de date în termen de 72 de ore de la descoperirea unei încălcări a datelor cu caracter personal. Implementarea controlului ISO 27001 A.16.1 (Managementul incidentelor și îmbunătățirilor în materie de securitate a informațiilor) va asigura “o abordare consecventă și eficientă a gestionării incidentelor de securitate a informațiilor, inclusiv a comunicării privind evenimentele de securitate”. Potrivit GDPR, persoanele vizate trebuie să fie notificate numai dacă pierderea de date prezintă un” risc ridicat pentru drepturile și libertatea subiectului. Implementarea gestionării incidentelor, care are drept rezultat detectarea și raportarea incidentelor de date cu caracter personal, va aduce o îmbunătățire organizației care dorește să se conformeze GDPR.

Gestionarea incidentelor este unul dintre procesele cheie  pentru a asigura eficiența oricărei operațiuni de afaceri, iar ISO 27001 prin clauza A.13 vine cu un nivel egal, dacă nu superior, de importanță față de alte standarde și norme. Managementul incidentelor trebuie să facă parte din politicile de securitate ale oricărei organizații, alături de procedurile de backup, continuitate în business, recuperarea în caz de dezastru, gestionarea riscurilor și gestionarea configurației.

Gestionarea activelor – Controlul ISO A2.8 (Asset Management) conduce la includerea datelor cu caracter personal ca active de securitate a informațiilor și permite organizațiilor să înțeleagă ce date personale sunt implicate și unde să le stocheze, cât timp, care este originea și cine are acces, care sunt toate cerințe ale GDPR.

Confidențialitatea prin design – Adoptarea conceptului de confidențialitate prin design, o altă cerință EU GDPR, devine obligatorie în dezvoltarea de produse și sisteme. Controlul ISO 27001 A.14 (Achiziționarea, dezvoltarea și întreținerea sistemelor) asigură faptul că “securitatea informațiilor este o parte integrantă a sistemelor informatice pe parcursul întregului ciclu de viață”.

Relațiile cu furnizorii – Controlul A.15.1 (Securitatea informațiilor în relațiile cu furnizorii) necesită “protecția activelor organizației accesibile de către furnizori”. Potrivit GDPR, organizația deleagă procesarea și stocarea de către furnizori a datelor cu caracter personal; ea trebuie să respecte cerințele regulamentului prin clauzele speciale din contactele de business.

Oameni, procese, tehnologie

Securitatea informațiilor nu se referă numai la tehnologie; este vorba de oameni și procese. Pe lângă controalele tehnice adoptate, documentația structurată, monitorizarea și îmbunătățirea continuă, implementarea standardului ISO 27001 promovează o cultură de conștientizare a incidentelor de securitate în cadrul organizațiilor. Angajații acestor organizații sunt mai conștienți și au mai multe cunoștințe pentru a putea detecta și raporta incidentele de securitate.

Cerințele pentru îndeplinirea standardului ISO 27001 nu se opresc aici. Fiind un standard larg, acesta acoperă multe alte elemente, inclusiv importanța formării profesionale a personalului și sprijinul din partea conducerii. ISO 27001 a fost deja adoptată de mii de organizații la nivel global, fiind unul dintre cele mai populare standarde ale sistemului de management de astăzi.

Este suficient ISO 27001?

Există câteva cerințe cheie GDPR care nu sunt direct acoperite în ISO 27001, cum ar fi conceptele-cheie de: consimțământ, prelucrare echitabilă, minimizarea datelor, limitarea stocării, cerința de a desemna un responsabil cu protecția datelor și susținerea drepturilor indivizilor privind accesul, rectificarea, ștergerea și transferul de date.

Cu toate acestea, este clar că ISO 27001 oferă un cadru care oferă o bază solidă pentru respectarea standardelor GDPR. Dacă organizația a implementat deja standardul, aceasta este cel puțin la jumătatea drumului spre asigurarea protecției datelor personale și minimizarea riscului de scurgere, din care impactul financiar și vizibilitatea pot fi catastrofale pentru organizație.

Primul lucru pe care o organizație ar trebui să-l facă este să efectueze o analiză GAP pentru a vedea ce mai are de făcut pentru a îndeplini cerințele GDPR și apoi aceste cerințe pot fi ușor adăugate prin sistemul de management al securității informațiilor care este deja stabilit de ISO 27001.

 

Provocările securității cibernetice într-o lume interconectată


 

 

22 martie, DB Connect, Bd. Dimitrie Pompeiu 6A, București

Vă invităm la prima mare conferință de Securitate cibernetică din 2018. Nu întâmplător, anul în care va intra în vigoare noul Regulament European pentru protecția datelor personale (GDPR). Această conferință este organizată de iBusiness România împreună cu Agora Group, cu sprijinul Centrului de Studii pentru Securitate, Managementul Crizelor și Prevenirea Conflictelor, Asociației Naționale pentru Securitatea Sistemelor Informatice (ANSSI) și DB Connect.

Cea de-a 4-a ediție a conferinței ”Provocările securității cibernetice într-o lume interconectată: politici, business-uri, strategii” se desfășoară Joi 22 Martie la sediul DB Connect din bd. Dimitrie Pompeiu 6A, din București.

Ediția din acest an a Forumului economic mondial de la Davos a acordat o atenție specială tehnologiilor emergente și pe impactul pe care acestea îl au asupra societăților, modelelor economice și sociale și în cele din urmă asupra “viitorului comun” într-o piață globală. Pe măsură ce tehnologiile evoluează, problemele de securitate cibernetică sunt deja parte din fiecare segment al vieților noastre, al activității noastre, a ambientului nostru social.

Atunci când vorbim despre tehnologiile emergente, luăm în considerare unele dintre cele mai populare și răspândite trenduri: IoT, sistemele autonome, industria digitală, Realitatea Virtuală & Augmentată, AI & Robotică, generația viitoare de infrastructuri virtualizate (inclusiv SDN și 5G), tehnologii Cloud și Blockchain, Machine Learning. Un alt factor disruptiv, în tot acest context, îl reprezintă iminenta adopție a Regulamentului General pentru Protecția Datelor (GDPR), care vine cu o serie de provocări majore pentru organizațiile care operează date cu caracter personal.

La conferință vor participa importanți factori de decizie și pe reprezentanții instituțiilor și agențiilor guvernamentale, care vor comenta împreună cu noi provocările, pașii de urmat și soluțiile pentru o lume mai sigură. Evenimentul este dedicat importanței deosebite pe care securitatea cibernetică o joacă în plan politic, economic și social, de la sectorul public (administrații centrale și locale), la organismele guvernamentale, Parlament, organizații de apărare și de informații (ministere, universități etc.), diverse verticale economice (utilități, manufacturare, telco, transport și logistică, energie, sănătate etc.) și până la sectorul privat. Toate aceste entități funcționează pe infrastructuri IT&C ce folosesc aplicații și tehnologii de protecție, politici de Securitate a datelor și de recuperare în caz de dezastru.

Evenimentul este structurat în două sesiuni care vor aborda:

Politicile de securitate cibernetică în contextul alianțelor internaționale din care România face parte – un panel de discuții cu cei mai importanți reprezentanți ai sectorului public, apărare, SRI, entități guvernamentale răspunzătoare cu politicile de securitate cibernetică, precum și reprezentanți ai sectorului privat.

Securitate cibernetică, cele mai bune practici și soluții în contextul mai amplu al adoptării GDPR și al implementării tehnologiilor emergente – secțiune unde vom discuta nu numai despre valențele de Securitate a datelor din GDPR dar și despre importanța factorului uman și a existenței unui cadru leal care să ne ajute să asimilăm protecția datelor personale ca pe orice normă de muncă, spre binele organizației.

Nu uitați să vă înregistrați pe pagina Web a conferinței: https://ibusinessevents.ro/provocarile-securitatii-cibernetice-intr-o-lume-interconectata-politici-business-uri-strategii/

Veniți la Conferință și vom putea discuta despre GDPR și impactul noilor reglementări la nivelul fiecărei organizații!

ÎNREGISTRAȚI-VĂ AICI!

 

Dimensiunea umană a GDPR-ului

Tudor Galoș

Tudor Galoș

Tudor Galoș a fost director de marketing pe consumer la Microsoft România vreme de șase ani și înainte de asta s-a ocupat de business-ul de Windows și Office pe România, Bulgaria și Europa de Sud-Est, fiind responsabil de lansări precum Windows Vista, Windows 7, Windows 10, Office 2003, Office 2007, Office 365 și multe alte produse și servicii. A lucrat cu firme mici, medii și mari din întreaga Europă. Din Septembrie 2017 coordonează propriul său business, Tudor Galos Consulting cu focus pe consultanța de business și management în zona start-up-urilor, a spin-off-urilor și a transformării digitale. Tudor privește alinierea la GDPR ca pe un proiect de transformare digitală ce începe cu oamenii – modul în care ei învață, înțeleg și adoptă importanța datelor personale și a respectării lor în toți pașii unei procesări.

 

GDPR este în primul rând despre oameni și despre drepturile lor referitoare la modul în care datele lor personale sunt procesate.

Observ în ultimele luni o efervescență a subiectului GDPR în presă, în conferințe, în prezentări, pe net, peste tot. Oriunde întorci capul, GDPR. Amenzi uriașe, apocalipsa datelor personale, nu mai poți face nimic, pe toate le-am auzit. Este bântuit spațiul public de mituri, de anti-mituri ce invalidează aceste mituri și care creează alte mituri, de foarte, foarte multă speculă – atât în presupuneri cât și în bani (a explodat piața de consultanți, ce mai). Nu m-aș mira ca dacă deschizi o cutie de acatiste la biserică să găsești acolo câteva pomelnici de ferire de audit GDPR sau să vezi la vrăjitoare în lista de „competențe” pe lângă descântec și scos de argint viu și un „vrajă să te scape de GDPR”.

Toată această efervescență este în jurul amenzilor și a măsurilor organizatorice și de securitate ce trebuie luate. Aproape toți vendorii de tehnologie s-au îmbulzit să creeze metodologii, produse, abordări, recomandări, documente și recomandări – multe utile, multe inutile, multe complet și total greșite (paradoxul face ca mulți din acești vendor să nu implementeze mai nimic legat de GDPR în organizație). Însă foarte puțină lume vorbește de ce este cel mai important într-un proces de conformitate cu niște regulamente: de dimensiunea umană.

Au americanii o expresie: “guns don’t kill people; people do”. Cam așa și aici – poți avea cele mai bune proceduri interne, de securitate, cele mai bune procese, produse, tehnologii implementate, cele mai frumoase documente interne, portaluri, etc că dacă nea Nelu de la operațiuni vrea să scoată niște date personale își va scoate telefonul și își va poza ecranul monitorului trecând peste absolut toate procedurile atent dezvoltate de organizație. De aceea, aici trebuie lucrat cel mai mult. Și paradoxal, aici se lucrează cel mai puțin…

Ca să îți faci angajații și partenerii să accepte conformitatea la GDPR trebuie să îi faci să creadă în GDPR. GDPR este în primul rând despre oameni și despre drepturile lor referitoare la modul în care datele lor personale sunt procesate. Aș face o paralelă aici cu o bancă ce are casete valorice. Clienții vin și își depozitează bunuri în acele casete valorice, iar banca nu poate să facă cu acele casete valorice ce vrea, poate să facă doar ce este lăsată de către clienți. Nu poate cotrobăi prin ele, nu poate scoate, nu le poate strica. Similar și aici, organizația nu „are” date personale, ci este un custode al unor bunuri ale unor oameni. Bunuri pe care le poate procesa în limitele admise de către persoane, fie prin interes legitim, fie prin interes vital, fie prin consimțământ etc. Oamenii își pot retrage oricând aceste bunuri și le pot da altcuiva. Este dreptul lor!

Practic angajații trebuie educați și ei să își exercite drepturile în raport cu alți procesatori – nimănui nu îi place să fie bombardat de spam, nimănui nu îi place să fie sunat la telefon la ore aiurea de ceva call-center fără să existe o justificare obiectivă etc. Fiecare are dreptul să afle ce date ține un operator despre el, inclusiv dacă l-a inclus în categorii jignitoare gen „sărac”, „prost”, „fraier” etc – și da, sunt companii ce de amuzament au inclus aceste categorii prin diverse Excel-uri uitate pe diverse servere. Odată aceste drepturi înțelese oamenii au șansa ca cerând respect, să ofere respect. Să își dea seama chiar ei cât de importante sunt aceste date personale și să înțeleagă vechiul proverb – „ce ție nu-ți place altuia nu-i face”.

Închei spunând că alinierea la GDPR nu este un „one-time project” – oamenii vin și pleacă, vor intra noi angajați, noi parteneri, vor apărea noi oportunități de business – și toate trebuie abordate având respectul pentru datele personale în prim plan. Succes la implementare!

 Acest articol a fost publicat în ”Ghidul Practic GDPR” din cadrul Catalogului Cloud Computing, ed. a 8-a, București, martie 2018, pag. 66-67. 

Portarea datelor în GDPR. Șah mat sau avantaj concurențial?

Andreea LISIEVICI

Andreea LISIEVICI

Andreea este partener la Privacy One, cabinetul specializat în asistenţă juridică în domeniul protecţiei datelor personale şi drept IT. Ea are peste 10 ani de experiență ca avocat în proiecte comerciale, de protecția datelor și de conformitate. A terminat un liceu de informatică și este la curent cu noile tehnologii, ceea ce îi conferă un avantaj deosebit în a înțelege chestiunile tehnice din domeniul protecției datelor. A acordat de-a lungul anilor consultanță unei game largi de clienți în domeniul IT și privacy, cum ar fi cloud computing, securitate cibernetică, publicitate comportamentală, reținerea datelor sau monitorizarea angajaților, și a fost implicată în arbitraje în domeniul IT. Scrie frecvent articole de specialitate și este un trainer și lector experimentat.

Ne-am obișnuit deja să ne portăm numerele de telefon, ne putem porta conturile bancare, iar din mai 2018 vom mai putea porta încă ceva: datele personale prelucrate de operatori.

Regulamentul general privind protecția datelor (Regulamentul 2016/679/UE, pe scurt GDPR) aduce o paletă largă de modificări în ce privește regimul prelucrării datelor personale ale persoanelor din Uniunea Europeană. Între acestea se numără introducerea dreptului la portabilitatea datelor, care, potrivit art. 20 GDPR, are următorul conținut:

(1) Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care:

        (a) prelucrarea se bazează pe consimțământ în temeiul articolului 6 alineatul (1) litera (a) sau al   

         articolului 9 alineatul (2) litera (a) sau pe un contract în temeiul articolului 6 alineatul (1) litera (b);

        (b) prelucrarea este efectuată prin mijloace automate.

(2) În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1), persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.

(3) Exercitarea dreptului menționat la alineatul (1) din prezentul articol nu aduce atingere articolului 17. Respectivul drept nu se aplică prelucrării necesare pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este învestit operatorul.

(4) Dreptul menționat la alineatul (1) nu aduce atingere drepturilor și libertăților altora.

Portabilitatea datelor a generat o preocupare ridicată în rândul companiilor a căror activitate este dependentă de gestiunea bazelor de date. Un raport din 2017 arată că portabilitatea datelor apare ca fiind cea mai dificilă obligație de conformitate din cadrul GDPR1. Același raport arată, de asemenea, că respectarea GDPR va fi luată în considerare atunci când o companie selectează un furnizor de servicii cloud, ceea ce înseamnă că această conformitate, și implicit susținerea portabilității datelor, pot deveni un avantaj competitiv.

Portabilitatea vs. dreptul de acces

Dreptul la portabilitatea datelor are ca scop prevenirea blocării persoanelor vizate la un anumit serviciu („lock-in”), și facilitarea mutării datelor de la un furnizor la altul fără restricții în funcție de formatul ales de furnizor. Portabilitatea datelor se aseamănă cu dreptul de acces, care era reglementat și anterior, în sensul că și în temeiul dreptului de acces persoana poate obține o copie a datelor prelucrate. Însă, în vreme ce dreptul de acces privește datele prelucrate indiferent de suport și indiferent de temei, portabilitatea privește numai datele prelucrate în temeiul consimțământului sau executării unui contract, și numai prin mijloace automate. În plus, daca în răspunsul la dreptul de acces operatorii pot da datele în orice format (de exemplu, fișiere .pdf pentru emailuri sau mesaje), portabilitatea este menită să asigure continuitatea serviciului, astfel că datele trebuie portate în formatul lor nativ, care să asigure posibilitatea continuării prelucrării de către operatorul destinatar sau persoana vizată în același mod precum cel anterior portării. În plus, operatorul expeditor trebuie să porteze cât mai multe metadate posibil, pentru a păstra sensul exact al informațiilor schimbate.

Mai merita precizat faptul că portarea datelor este o măsură unică, ea nefiind destinată să asigure interconectarea unor servicii sau fluxul continuu de date – de exemplu, portarea nu este soluția potrivită în cazul in care un utilizator dorește să își primească emailurile dintr-un cont prin intermediul altui cont de la alt furnizor sau daca vrea ca documentele salvate pe o platforma cloud sa fie automat salvate și într-o alta. Mai mult, portarea datelor nu duce in mod automat la încetarea serviciului din care se efectuează portarea. Portarea în GDPR nu este văzută similar cu portarea numerelor de telefon, adică o schimbare totală a furnizorului, ci pur și simplu ca o modalitatea de transfer de date, inclusiv între servicii neechivalente (de exemplu, de la un furnizor de cloud la o soluție de analiză a informaţiilor).

Alocarea rolurilor pentru portarea în cazul serviciilor cloud computing

GDPR lucrează cu câteva concepte principale, între care dualitatea operator-împuternicit. Mai exact, „operatorul” („controller” în engleză) este entitatea care, singură sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal, în vreme ce „împuternicitul” („processor” în engleză) înseamnă entitatea care prelucrează datele cu caracter personal pentru operator. În cazul particular al serviciilor cloud, pentru alocarea acestor roluri trebuie distins între serviciile cloud B2B și serviciile cloud B2C.

În scenariul B2B, unde clientul serviciului cloud este o companie, datele pe care aceasta le stochează în cloud nu sunt datele personale ale acesteia, ci ale utilizatorii finali ai companiei (fie că sunt angajaţi, clienţi, etc). Clientul va lua decizii privind modul de stocare și prelucrare a datelor, iar furnizorul de servicii cloud va urma doar instrucțiunile. Acest lucru face ca operatorul de date să fie clientul, iar furnizorul de servicii cloud să fie împuternicit.

Nu aceeași este situaţia în scenariul B2C. În cazul în care clientul unui serviciu cloud este o persoană fizică, datele personale ale acesteia sunt prelucrate direct de furnizorul de servicii cloud, care devine operator de date. Distincţia este una importantă, pentru că dreptul la portabilitatea datelor trebuie pus în aplicare numai de către operator. Cu alte cuvinte, acolo unde furnizorul de cloud este împuternicit, el trebuie să evite să intervină în vreun mod în catalogarea datelor, selecţia datelor supuse portării, a modalităţii de portare (dacă există alternative), a timpului, a destinatarului, etc, altfel riscând să fie calificat operator asociat.

În timp ce articolul 20 GDPR nu menționează în mod explicit nicio responsabilitate pentru împuterniciţi, articolul 28 GDPR prevede faptul că operatorii pot contracta numai împuterniciţi „care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în GDPR”. Astfel, furnizorii de cloud pentru firmele care prelucrează în mod direct datele cu caracter personal, vor trebui în mod similar să demonstreze conformarea la GDPR pentru a rămâne competitivi.

Datele care intră în obiectul portării

Art. 20 GDPR precizează faptul că portabilitatea se referă la „datele cu caracter personal care privesc” persoana vizată. Acest lucru a fost interpretat de Grupul de Lucru Art. 29 ca reunind atât datele furnizate cu bună știință și în mod activ de persoana vizată, cât și cele rezultate din observarea activității sale. Cu alte cuvinte, ceea ce nu intră în obiectul dreptului la portarea datelor sunt datele derivate de operator pe baza primelor două, deși și acestea pot fi obţinute de persoana vizată în temeiul dreptului de acces (dar nu pot fi transmise în mod direct altui operator).

În tot cazul, distincţia între aceste trei categorii de date (date furnizate explicit, date observate și date derivate) devina una importantă. Ea poate fi implementată atât prin etichete (tag-uri) care să susţină un proces automatizat de selecţie, dar poate fi inclusă și în registrul operaţiunilor de date întocmit de operator potrivit art. 30. Furnizorul de cloud trebuie însă să fie atent ca, în situaţia în care este împuternicit, să nu decidă el această etichetare, ci doar să pună la dispoziţia clientului său posibilitatea efectuării ei. Furnizorul de cloud împuternicit trebuie să păstreze o abordare neutră, în care el să cunoască cât mai puțin (spre deloc) din datele clienţilor. De altfel, acesta e motivul pentru care registrul operațiunilor ținut de împuterniciți nu trebuie sa includă categoriile de date, ci doar o descriere generala a acestora (art. 30.2.b GDPR).

Metode de a efectua portarea datelor în cazul serviciilor cloud

Articolul 20 GDPR nu impune o formă sau o metodă pentru portarea datelor, singurele cerinţe fiind ca transferul să se facă într-o formă „structurată, utilizată în mod curent și care poate fi citită automat”. Preambulul 68 dezvoltă și prevede că „operatorii de date ar trebui să fie încurajați să dezvolte formate interoperabile care să permită portabilitatea datelor”. Cu alte cuvinte, operatorii nu sunt obligați să asigure compatibilitatea sistemelor lor, ci doar interoperabilitatea. În acest context, pot fi identificate trei metode de portare a datelor:

Interfețele de programare a aplicațiilor (API-uri) sunt de obicei dezvoltate de furnizorul de servicii cloud, ceea ce înseamnă că ele diferă de API-urile altor furnizori. Astfel, clienții care doresc să utilizeze API-uri pentru a extrage date personale din serviciile cloud trebuie să se adapteze API-ului pus la dispoziţie. API-urile sunt avantajoase, deoarece clienții pot extrage date direct de la furnizorii de cloud și nu au nevoie să stocheze temporar datele pe infrastructura proprie. Totuși, API-urile ar putea să nu fie cea mai bună soluţie atunci când portarea se face în mod direct către un furnizor de alt fel de serviciu.

Protocoalele sunt de obicei concepute de o organizație de standardizare în industrie și, prin urmare, sunt acceptate pe scară largă de multe platforme, de cloud și nu numai (de exemplu SMTP, SFTP, IMAP, etc). În acest caz dispare nevoia de adaptare la platforme specifice, ceea ce ar sprijini interoperabilitatea. În mod similar API-urilor, clienții nu au nevoie să stocheze temporar datele pe infrastructura proprie.

O a treia metodă este descărcarea datelor ca un fișier de format utilizat în mod curent (de exemplu .csv, .xml). Această metodă facilitează importarea datelor în alte platforme, însă numai ca acţiune directă a utilizatorului, fără să fie o modalitate de portare direct operator-operator. Ea necesită deci stocarea datelor temporar pe infrastructura proprie a utilizatorului, și în plus se poate dovedi nepractică acolo unde volumul datelor este mare.

Toate cele trei metode sunt deja utilizate pe scară largă pe piață astăzi, fără însă ca acest lucru să însemne că nu pot apărea metode noi. Cert este că portabilitatea datelor necesită un proces automatizat sau semi-automatizat pus la dispoziţie de operator (sau de împuternicit pe seama operatorului), întrucât o operare manuală ar risca să blocheze activitatea operatorului.

Mai merită menţionat că în decembrie 2017 a fost publicat un standard ISO pentru interoperabilitate și portare în serviciile cloud: ISO/IEC 19941:20172, care deși nu este destinat să răspundă cerinţelor GDPR (fiind un standard global), poate fi adaptat pentru a acoperi cerinţele art. 20 GDPR.

Concluzii

Pentru a putea răspunde solicitărilor de portare, furnizorii de cloud trebuie să ia o serie de măsuri importante și posibil costisitoare. Între acestea se numără:

  • să pună la punct mecanisme de selecţie a datelor care intră în domeniul portabilității;
  • să decidă cine și cum face trierea datelor portate pentru a elimina tot ce este excesiv, precum și să decidă cum implică sau anunță persoana vizată referitor la datele excluse;
  • să adopte proceduri prin care să standardizeze procesul de răspuns la cererile de portare;
  • să implementeze mecanisme cât mai automate de efectuare a portării (API, protocol, download direct), preferabil care dau persoanei vizate posibilitatea selectării datelor portate;
  • să implementeze proceduri de identificare corespunzătoare a persoanei vizate și a operatorului destinatar;
  • să implementeze măsuri de securitate a datelor portate, inclusiv izolarea acestora de alte date prelucrate și asigurarea unui canal sigur de transfer;
  • nu în ultimul rând, să poată face distincţia între serviciile puse la dispoziţie clienţilor corporate (aceștia fiind operatori) și cele puse la dispoziţia clienţilor persoane fizice (caz în care furnizorul de cloud este operator).

Trebuie menționat că încălcarea dreptului la portabilitatea datelor se încadrează în palierul cel mai sever de sancțiuni, astfel că potrivit articolului 83 alineatul 5(b) GDPR operatorilor le pot fi impuse amenzi administrative de până la 20.000.000 EUR sau până la 4 % din cifra de afaceri globală în exercițiul financiar anterior, oricare este mai mare. Concomitent, persoana fizică vătămată prin neefectuarea portării poate angaja răspunderea solidară a operatorului şi împuternicitului (furnizorul de cloud), solicitând acoperirea prejudiciului dovedit. Aceste riscuri, precum şi prejudiciul reputaţional aferent, ar trebui să fie motive clare pentru a implementa măsuri tehnice de efectuare a portării, chiar dacă sunt costisitoare.

Referințe:

1 –  IAPP-EY AnnualPrivacyGovernance Report 2017, pag. 19, disponibil la https://iapp.org/media/pdf/resource_center/IAPP-EY-Governance-Report-2017.pdf  

(accesat ianuarie 2018).

2 – Disponibil la https://www.iso.org/standard/66639.htm

Acest articol a fost publicat în ”Ghidul Practic GDPR” din cadrul Catalogului Cloud Computing, ed. A 8-a, București, martie 2018, pag. 56-60. 

A APĂRUT CATALOGUL GDPR PRACTIC: PREMIERĂ PENTRU ROMÂNIA

Trustul de presă AGORA Group și platforma de knowledge cloudmania anunță publicarea Catalogului GDPR PRACTIC  – primul proiect editorial din România care combină un Ghid practic de implementare GDPR cu oferte de servicii și soluții pentru asigurarea conformității cu prevederile GDPR. Catalogul GDPR Practic este al doilea Catalog GDPR după cel apărut în Octombrie 2017 și se înscrie în seria de ghiduri ”Catalog Cloud Computing Romania”, ajunsă la a 8-a ediție.  

 

Regulamentul EU 2016 – 679 reprezintă cea mai importantă modificare a legislației privind protecția datelor personale în UE și la nivel global. 2018 va fi un an cu multă agitație, cu implicații majore nu numai pentru zona de IT, ci și pentru organizațiile guvernamentale și operatorii de date din orice industrie. Căci, până la urmă, toți suntem operatori și procesatori de date și toți ne vom supune acelorași reguli.

Cu șase luni înainte de intrarea în vigoare a GDPR piața românească era destul de conștientă de importanța momentului. Peste 64% dintre operatorii de date nu făcuseră un plan de implementare,  72% nu organizaseră instructaje GDPR interne, iar 89% nu începuseră reevaluarea contractelor cu furnizorii și clienții.

Pornind de la această realitate și văzând succesul cu care a fost primit primul Catalog GDPR Ready în octombrie 2017, am decis să continăm susținerea operatorilor de date din România, făcând ceva mai mult decât o simplă sensibilizare și conștientizare. În acest spirit, a doua ediție a Catalogului GDPR este dedicată proceselor și soluțiilor de protecție a datelor personale, cu focalizare pe aspectele practice ale implementării procesului de conformitate GDPR.

Ca și ediția precedentă, Catalogul GDPR Practic e format din două părți:

  • GHIDUL DE IMPLEMENTARE GDPR – bazat pe o serie de recomandări de abordare practică a unui proiect de implementare GDPR;
  • Un CATALOG DE OFERTE pentru soluții compatibile GDPR, servicii de consultanță, audit și certificare disponibile la ora actuală pe piața din România.

 

Catalogul poate fi citit online la adresa: https://issuu.com/agoramedia/docs/catalog_cloud_2018_ed_8_gdpr

 

”Ghidul de implementare GDPR” conține 50 de întrebări și răspunsuri ce abordează probleme concrete ale unui proiect de implementare GDPR precum și o serie de valoroase recomandări pentru operatorii și procesatorii locali oferite de specialiști GDPR cu o bogată experiență în protecția și confidențialitatea datelor personale. Printre subiectele de larg interes care sunt discutate în acest Ghid amintim:

  • Ce este un proiect GDPR?
  • Care sunt fazele unui proces de implementare?
  • Cum alegem un DPO?
  • Cum facem maparea datelor?
  • Care sunt rolurile operatorilor și procesatorilor?
  • Avem nevoie de o analiza de impact?
  • Cît de importanță este Analiza de risc?
  • Cum gestionăm managementul incidentelor?
  • Cine, când și cui raportează?
  • Cum se face transferul internațional de date?

Ghidul este însoțit de recomandările unor specialiști din diferite domenii, precum servicii juridice – Andreea Lisievici și Dana Cristina Matache, soluții și management IT – Fernanda Velter și Yugo Neumorni sau servicii de consultanță: Tudor Galoș. Desigur că un astfel de ghid nu poate aborda în extenso toate procedurile și nici nu ne propunem să oferim rețete. Ghidul prezintă esența proceselor absolut necesare într-un proiect de implementare, care indiferent de ordinea abordării trebuie făcute. Și trebuie făcute bine. Căci atingerea conformității GDPR nu este un examen pentru a dovedi faptul că suntem în stare să asigurăm protecția datelor personale.  Nu este o barieră de depășit.  Este o țintă către un nivel superior de organizare și funcționare. GDPR este un certificat de încredere pe viață. Pe tot ciclul de viață al unui proces de business.

A doua secțiune este Catalogul de oferte pentru asigurarea conformității GDPR promovate de vendori, integratori și distribuitori de soluții și servicii de securitatea informației, pachete de servicii asigurate de case de avocatură, companii de consultanță și firme specializate în instruire și certificări. Le mulțumim partenerilor de la ASBIS, Brinel, Deloitte, ESET, Essensys Software, IBM, Ingram Micro, Kingston Technology, Privacy One, Q-EAST Software, Romsym Data, Tryamm, Veritas și Zitec  pentru că au participat alături de noi la acest proiect.

Publicarea Catalogului GDPR face parte din inițiativa GDPR Ready  care reunește o mare diversitate de proiecte și activități menite să ajute operatorii și procesatorii de date personale din România:

  • Articole GDPR Explicitat – serie de 15 articole publicate pe site-ul cloud☁mania
  • Ghidul de orientare rapidă din Catalogul GDPR Ready – octombrie 2017
  • Ghidul de implementare GDPR din Catalogul GDPR Practic – martie 2018
  • Broșuri și eBook-uri
  • Studii de piață și analize
  • Grup de discuții GDPR Ready pe LinkedIn
  • Parteneriate media
  • Organizare Evenimente GDPR
  • Moderare paneluri GDPR
  • Ședințe de instruire GDPR pentru organizații
  • Recomandări și consiliere companii de IT ”Let’s talk about GDPR”

 

Inițiativa GDPR Ready!  își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018. Pentru operatorii și procesatorii de date personale obținerea conformității GDPR la nivel organizațional presupune un proces extrem de complex ce începe cu înțelegerea datelor senzitive și a locației lor, accesului la date și procesele de business în care se utilizează. Prin GDPR Ready! aveți acces la toate resursele necesare pentru înțelegerea implicațiilor noilor prevederi ale acestui Regulament, evaluarea acțiunilor care se impun la nivel de organizație și punerea lor în practică sub cele mai bune auspicii.

%d bloggers like this: