GDPR – UN STATUS DUPĂ 100 DE ZILE

Au trecut 100 de zile de la data luată ca reper pentru intrarea efectivă în vigoare a Regulamentului UE 679/ 2016. Pentru cei mai scrupuloși, ei bine, la data publicării acestui articol  sunt exact 110 zile, dar de ce să stricăm frumusețe de titlu… Important este ce s-a mai întâmplat în aceste 100++ zile…

Graba strică treaba și ne canibalizează bazele de date

Ei bine, încercând să păstrăm o ordine cronologică, primul fenomen cu care ne-am confruntat cu toții încă de prin 20 mai a fost abundența de mesaje de opt-in menite să asigure continuitatea livrării unor mesaje sub pălăria consimțământului. Ideea nu a fost rea și laudă celor care s-au gândit la asta. Nefericită a fost de cele mai multe ori forma sub care s-a ajuns să se solicite asta, chiar și în mult situații în care nu era nevoie de consimțământ. În lipsa unor ghidaje clare, bazate pe un desfășurător de acțiuni și a unei agende de derulare în timp, fiecare a făcut ce a știut, ce i s-a spus, sau cum s-a priceput. A fost un test dur, care dacă ar fi să presupunem că se urmează în continuare regulile, ar trebui să conducă la canibalizarea bazelor de date cu prospecți. Regula zice clar că dacă nu ți se răspunde la solicitarea de confirmare a consimțământului, persoana vizată trebuie trecută pe lista celor care nu sunt de acord cu aceasta.

Am păstrat câteva mesaje din acea perioadă, ca exemplu viu pentru cursurile de GDPR pentru oamenii de marketing. Evident, fără menționarea surselor… Din curiozitate, am făcut și câteva teste interactive, doar cu operatorii din România. La unele mesaje am răspuns, la altele am cerut unsubscribe, iar la altele nu am dat nici-un răspuns, propunându-mi să urmăresc comportamentul în timp. Spre lauda operatorilor, 98% din teste au fost reușite, demonstrând că există oameni care chiar se preocupă de răspunsurile persoanelor vizate. Recunosc, nu am făcut încă nicio solicitare de acces la date, deși aș fi avut motive să testez și viteza de răspuns la solicitările persoanei vizate. Nu mă grăbesc cu asta. Oamenii au nevoie de timp, și acolo unde s-a început un proiect de aliniere GDPR lucrurile nu pot fi făcute peste noapte…

Spre deosebire de multe atitudini din social – media, eu nu mă grăbesc să dau cu barda și acolo unde este nevoie intervin cu blândețea sfatului. Sunt de părere că oamenii care chiar încearcă să schimbe lucrurile trebuie lăsați să lucreze și nu să ii arătăm cu degetul că au făcut totul intern sau că au apelat la unul și la altul. Fiecare a acționat cum a crezut de cuviință, atunci când a avut un management care a fost sensibilizat în legătură cu subiectul. Chiar și cu lipsuri sau mici greșeli, orice pas înainte este un plus și este destul vreme pentru subtilități teoretice. Importantă este reacția oamenilor, a celor care trebuie să asimileze și să pună în aplicare politicile GDPR.

Ghidul GDPR pe verticale

Pentru a face ca mesajele esențiale să ajungă la cât mai mulți oameni, inițiativa GDPR Ready a publicat seria de Ghiduri reunite sub forma Cataloagelor GDPR, apărute în noiembrie 2017 și martie 2018 ca rod al colaborării cu Agora Group. la începutul lunii Iunie a apărut cea de-a treia ediție a Catalogului GDPR – dedicată unor probleme mai specifice ridicate de GDPR pentru micile companii sau diferitele departamente cu rol de operator de date personale. Prin ”GHIDUL GDPR PE VERTICALE” am adus în discuție câteva elemente generale și particulare despre provocările cu care se confruntă departamente cheie dintr-o companie, precum resursele umane, marketingul și vânzările sau echipa IT,  de la maparea proceselor de business și a datelor, la analiza de impact și de risc și adoptarea strategiei de protecție pe termen lung și crearea unei culturi GDPR la nivel de organizație. Ca și la edițiile anterioare, Ghidul este însoțit de recomandările unor specialiști din diferite domenii, ale căror opinii ați avut ocazia să le citiți sau  le veți citi în următoarele zile, sub forma unor articole dedicate.

>> CITIȚI AICI CATALOGUL GDPR ONLINE!

Cu ocazia anunțării apariției Catalogului, la aproape o lună după data de 25 mai, am făcut și o primă analiză bazată pe situațiile întâlnite în piață, din care reieșea că organizațiile din România nu erau încă pregătite pentru importanța momentului. Principalele constatări de la acea vreme se refereau

la cele mai des întâlnite situații posibil generatoare de riscuri pentru datele personale:
1. Inexistenta unei Politici elementare de IT la nivelul unor organizații mijlocii si mari. Chiar si acolo unde există niște norme și politici interne, acestea nu se aplică.
2. Harababura privind procesarea, păstrarea si transferul datelor la nivelul departamentelor de resurse umane și a ecosistemului de parteneri care procesează datele angajaților.
3. Lipsa unei strategii clare privitoare la transparență în echipele de marketing. Se copiază si se aplică șabloane culese de pe Internet, fără a se înțelege esența principiilor GDPR.
4. Inexistenta unei percepții reale privitoare la rolul pozitiv al GDPR pentru schimbarea si transformarea în bine a unei organizații. Oamenii nu au viziune de ansamblu pentru șansele lor în business, închistați fiind de necunoaștere, neînțelegere și preluare inadecvată a unor “sfaturi” oferite de binevoitori.
5. Lipsa de interes a unor manageri de departamente – altele decât HR, FINANCIAR, Juridic, IT – care cred ca ei nu au nicio responsabilitate, e treaba altora să își bată capul cu problemele astea birocratice…

Legea 190

În data de 17 iulie, Președintele României a aprobat prin Decretul 557/ 2018 Propunerea legislativă privind măsuri de punere în aplicare a regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date şi de abrogare a Directivei 95/46/EC (Regulamentul general privind protecţia datelor). Aceste măsuri de punere în aplicare, cunoscute de acum ca Legea 190/ 2018 au dat naștere la multe controverse și discuții în social media. În fine, Legea a fost publifată în Monitorul Oficial nr. 651 din 26 iulie 2018, adică la 2 luni după data oficială a intrării în vigoare a GDPR.

Fără să intru în alte comentarii, voi prezenta pe scurt cele mai importante articole ale legii 190/ 2018. După cum se arată în Articolul 1, Scopul Legii nr. 190/2018 este de a reglementa măsurile necesare punerii în aplicare la nivel național, în principal, a următoarelor prevederi GDPR :

  • Art. 6 (Legalitatea prelucrării), alin. (2) – ” Statele membre pot menţine sau introduce dispoziţii mai specifice de adaptare a aplicării normelor prezentului regulament în ceea ce priveşte prelucrarea în vederea respectării alineatului (1) literele (c – obligații legale) şi (e – interes public) prin definirea unor cerinţe specifice mai precise cu privire la prelucrare şi a altor măsuri de asigurare a unei prelucrări legale şi echitabile, inclusiv pentru alte situaţii concrete de prelucrare, astfel cum este prevăzut în capitolul IX”;
  • Art. 9 (Prelucrarea de categorii speciale de date cu caracter personal) alin. (4) – Statele membre pot menţine sau introduce condiţii suplimentare, inclusiv restricţii, în ceea ce priveşte prelucrarea de date genetice, date biometrice sau date privind sănătatea”;
  • Art. 37-39 (Desemnarea, funcșia și sarcinile responsabilului cu protecția datelor
  • Art. 42 (Certificarea);
  • Art. 43 (Organisme de certificare);
  • Art. 83 (Condiţii generale pentru impunerea amenzilor administrative), alin. (7) – ” Fără a aduce atingere competenţelor corective ale autorităţilor de supraveghere menţionate la articolul 58 alineatul (2), fiecare stat membru poate prevedea norme prin care să se stabilească dacă şi în ce măsură pot fi impuse amenzi administrative autorităţilor publice şi organismelor publice stabilite în statul membru respectiv”;
  • Art. 85 (Prelucrarea şi libertatea de exprimare şi de informare);
  • Art. 87 (Prelucrarea unui număr de identitate național);
  • Art. 88 (Prelucrarea în contextul ocupării unui loc de muncă);
  • Art. 89 (Garanții şi derogări privind prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice

De departe, Articolul 4 – Prelucrarea unui număr de identificare național, este cel mai important articol din legea 190/ 2018, statuând condițiile de prelucrare a unui număr de identificare național prin oricare dintre temeiurile legale stabilite de GDPR în Art.1, alin (1).

Dar asta nu e suficient. Cei care au ca temei legal interesele legitime urmărite de operator pot prelucra date personale ce conțin numere de identificare naționale doar în condițiile în care pot oferi o serie de garanții, precum:

  1. punerea în aplicare de măsuri tehnice și organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minimum a datelor, precum și pentru asigurarea securității și confidențialității prelucrărilor de date cu caracter personal, conform dispozițiilor Art. 32 GDPR (Securitatea prelucrării);
  2. numirea unui responsabil pentru protecția datelor, în conformitate cu prevederile art. 10 din Legea 190/ 2018 – Desemnarea și sarcinile responsabilului cu protecția datelor;
  3. stabilirea de termene de stocare în funcție de natura datelor și scopul prelucrării, precum și de termene specifice în care datele cu caracter personal trebuie șterse sau revizuite în vederea ștergerii;
  4. instruirea periodică cu privire la obligațiile ce le revin a persoanelor care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, prelucrează date cu caracter personal.

În fine, la fel de important poate fi considerat și Articolul 5 din Legea 190/ 2018 care stabilește câteva reguli cu privire la prelucrarea datelor cu caracter personal în contextul relațiilor de muncă, care sunt supuse unei forme de monitorizare. Dacă angajatorul folosește sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

  1. interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;
  2. angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;
  3. angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;
  4. alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și
  5. durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Am spus ca prefer să nu comentez, dar pot măcar să menționez că printre controversele iscate de legea 190/ 2018 se numără aparenta libertate acordată partidelor și organizațiilor politice care pot prelucra date cu caracter personal fără a avea nevoie de consimțământ și disproporția aplicării de sancțiuni cu dublă măsură pentru firmele de stat și cele private. Legea 190/ 2018 poate fi descărcată în format pdf de pe siteul ANSPDCP 

Ce se întâmplă acum?

La trei luni și ceva după momentul 25 mai 2018, s-a așternut liniștea peste piață. Cine a avut ce face și cu cine face și-a rezolvat problemele esențiale. Așa cum s-a putut, cu cine s-a putut. Nimeni nu se mai agită. S-au rărit și postările, apărând între timp alte subiecte de interes. Cei care nu s-au agitat în mai, stau liniștiți și acum, mizând pe șansa de a fi prea mic pentru a se întâmpla ceva.

Liniște – prea multă liniște și din partea Autorității de supraveghere. Oamenii așteptau o creștere a fluxului de informații oferite de singurul organism național abilitat să supravegheze prelucrarea de date personale. Cu excepția publicării unor comunicate legate de adoptarea formularelor oficiale de notificare a breșelor și de numire a unui DPO, activitatea Autorității a fost destul de puțin vizibilă.

Singura știre publică legată de aplicarea efectivă a GDPR în România a venit de pe un site al Uniunii Europene, unde erau analizate dinamica primelor notificări de după 25.mai, în raport cu bugetele alocate în 2017 pentru autoritățile din țările respective…

Principalul rol în mediatizarea și discutarea diferitelor aspecte legate de GDPR a revenit organizațiilor și inițiativelor private. O serie de asociații profesionale au publicat ghiduri de aliniere GDPR specifice unor activități precum cele de contabilitate, cabinet de avocatură, instituții medicale sau școli. Foarte puține resurse sunt însă disponibile public, majoritatea având un rol comercial.

Din fericire, a crescut numărul inițiativelor individuale, care prin intermediul unor site-uri dedicate au amplificat promovarea subiectelor de larg interes privind condițiile de aliniere GDPR specific pentru companiile și organizațiile din România. Merită a fi apreciate toate aceste inițiative care presupun un mare volum de muncă din partea celor implicați public și social. O simplă căutare pe ”GDPR România” vă va conduce la cele mai populare site-uri sau pagini de profil.

Cât privește activitatea GDPR Ready, în perioada mai-septembrie a avut în vedere cu precădere proiectele de implementare și serviciile de instruire. Ghidurile aferente celor trei Cataloage GDPR și articolele publicate au avut cu certitudine un impact important în creșterea aportului de cunoaștere și în explicarea principalelor provocări GDPR pe înțelesul tuturor. Nu întâmplător, pe 25 mai, secțiunea GDPR Ready a site-ului cloudmania a înregistrat un număr record de vizitatori.

Iată cele mai accesate articole GDPR Ready din această perioadă:

Cum pot obține certificarea DPO în România

Un personaj important: Data Protection Officer

A apărut Catalogul GDPR Practic – premieră pentru România

Dreptul de acces, rectificare, ștergere sau restricționare

Avem un DPO: cum îl certificăm?

Importanța evaluărilor de impact DPIA

GDPR Q&A: Cele mai frecvente întrebări și răspunsuri

Notificarea breșelor de Securitate

Inițiativa GDPR Ready

Avem ISO 27001. Ce ne mai trebuie pentru alinierea GDPR

 

Ca o concluzie a experienței acumulate din proiecte și inițiativele de instruire, aș puncta faptul ca dincolo de inexistenta unor tehnologii adecvate care pot rezolva buna parte din vulnerabilitățile de prelucrare și stocare a datelor cu caracter personal, principala frană în larga adopție a GDPR sunt oamenii, care nu sunt învățați să respecte niste norme și proceduri elementare. Problema principală în orice companie este legată nu de nu atingerea unor condiții de conformitate GDPR, ci de păstrarea acestora pe termen lung prin asimilarea Culturii GDPR.

Advertisements

About Radu Crahmaliuc
Independent IT&C analyst, GDPR advisor, digital transformation & Cloud computing evangelist, start-ups developer, eBooks author, freelancer, storyteller, events moderator & keynote speaker

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: