Rolul și problemele departamentului IT în implementarea GDPR

 

 

Daniel SUCIU

Daniel SUCIU este specialist în managementul proceselor, managementul schimbării, managementul riscului, auditul intern, guvernanța și administrarea datelor, dezvoltarea de software, operarea și suportul IT, securitatea informațiilor dar și managementul proiectelor și al echipelor crossfunționale, cu rezultate măsurabile la intersecția sistemelor, tehnologiei, proceselor, oamenilor și datelor. 30 de ani de experiențe de lucru între IT / tehnologie si echipele de business, între clienți, parteneri / furnizori, angajați și conducere. Nu în ultimul rând, certificat ca ofițer cu protecția datelor, fiind implicat în conformarea la GDPR a mai multor organizații, din diferite domenii: învățământ, ONG, turism, medical, servicii IT, afaceri sau comerț online.

 

Probleme mai vechi, trecute cu vederea până acum, dar problematice în respectarea GDPR

Pentru toate sistemele IT trebuie să existe o documentație, atât tehnică, cât si un manual de utilizare. Problema este că oricum nu-l citește nimeni, ca și pe celelalte proceduri IT, deși toți se jură că l-au citit din scoarță în scoarță. Cum te poți aștepta să citească cineva procedurile IT referitoare la utilizarea calculatoarelor personale, sau a telefoanelor, sau Doamne ferește – a emailului sau navigarea pe Internet. Păi acasă până și cel mic știe să lucreze la calculator și să navigheze pe net.

O altă obișnuință în mediul românesc este exceptarea managementului de la respectarea regulilor. Adică cum să țină minte managementul o parolă complexă… și să o schimbe la fiecare 90 de zile? Sau culmea, că nu poate vedea filme online sau descărca jocuri pe calculatorul de serviciu? Ce contează că o mare parte a timpului în IT se rezolvă probleme ce nu ar fi trebuit să apară, iar „excepțiile” ajung sa fie regula.

Să vedem ce putem face din punct de vedere tehnic pentru a preveni, sau măcar pentru a monitoriza buna funcționare a echipamentelor și sistemelor IT. Păi toate acestea costă mult. Iar cele care nu costă au nevoie de mai mult timp/ mai mulți oameni pentru a fi configurate și folosite. De unde atâția bani? Nu s-au dat bani pentru servere? Asta a fost acum câțiva ani? Licențe, suport? Pentru ce, că de aia avem IT.

Totuși IT-ul nu lucrează numai cu regulile proprii. Exista nevoi și procese pe care alții le definesc, ei fiind doar o rotiță într-un angrenaj. Pentru a simplifica problema, să presupunem ca aceste procese au fost analizate, agreate si corect definite. Să luăm ca exemplu angajările noi sau plecările din organizație. Ce probleme ar mai putea avea IT-ul aici? Că se uită „uneori” să fie anunțat IT-ul de o nouă angajare? Că întreabă managerul de ce nu are omul lui calculator sau acces la aplicații? Nu a cerut nimeni? Cum ce drepturi să aibă în aplicații? Cele de care are nevoie. La plecare, nu a predat calculatorul de serviciu? Nu se șterg automat toate conturile si drepturile pe care le-a avut… în afară de cele ce mai pot fi necesare și nu le are altcineva? Nu? De ce?

Să zicem că problemele pe care tocmai le-am semnalat s-au rezolvat între timp și totul merge cum trebuie, fiind atins un punct de echilibru între teorie și practică, între așteptări şi posibilități.

O nouă provocare – GDPR-ul

Auzind despre iminența intrării in vigoare a GDPR-ului, s-a analizat operativ situația și IT-ul a fost identificat drept principalul responsabil de implementarea acestuia… pentru că e vorba de date. Eventual, poate beneficia de ajutorul neprecupețit al departamentului juridic şi are susținerea managementului. Dacă sunt foarte „norocoși” beneficiază și de asistența unei firma de consultanță.

Nu le rămâne decât să treacă la identificarea datelor cu caracter personal, a locului pe unde acestea „trăiesc, se înmulțesc și mor” și documentarea vieții acestora. Cu această ocazie IT-ul află că noțiunea de date cu caracter personal nu este ce-au crezut ei, adică datele de la HR, ci că în toate sistemele lor, serverele, ba chiar și routerele, colcăie puzderie de date personale, prin bazele de date, fișiere de configurare, ca să nu mai vorbim de log-uri. Că orice ID asociat unui utilizator (bașca IP-urile calculatoarelor sau adrese de email de serviciu) sunt date personale. Ca bonus, orice document electronic creat în organizație, chiar și gol, conține date personale în Proprietăți. Iar despre email nu are rost să vorbim.

Cum să spună ei managementului că le-ar fi mult mai ușor să documenteze unde NU există date cu caracter personal? Că au încercat să caute în toată rețeaua unde apare numele sau vreun ID al fostului admin, dar s-au plictisit după ce au văzut primele zece ecrane pline?

Ok, după o discuție clarificatoare s-a decis să se limiteze la cele mai evidente. Zis și făcut. Se stă peste program, se sapă în date și se documentează principalele tipuri de date și procesări, ba se mai acordă și ajutor celorlalte departamente, pentru care maparea datelor și procesărilor specifice într-un excel este un lucru foarte greu… nemaivorbind că oricum au treburi mai importante de făcut, că banii nu vin singuri. Între timp, IT-ul mai află că trebuie să discute cu toți furnizorii de echipamente și soluții să actualizeze contractele cu clauze specifice de data protection (pe care le vor primi mai târziu de la departamentul juridic).

În semn de deosebită apreciere pentru calitatea muncii lor, toate celelalte departamente și-au exprimat încrederea deplină în capacitatea IT-ului propriu, și mai au nevoie doar de un mic ajutor. În toate sistemele IT au nevoie de unu, două butoane mici (uneori pot fi si cinci), unul care să scoată toate datele din sistem pentru un utilizator (în funcție de orice criteriu de căutare) și unul să le șteargă. Parcă mai erau câteva variante, dar nu sunt urgente.

Pentru cele dezvoltate intern nu este o problemă. Nu? Este??? Cum adică cel ce le-a dezvoltat a plecat din organizație și nu sunt documentate? Păi de ce nu sunt documentate? Las’ că vă descurcați voi, că sunteți pricepuți. O săptămână ajunge? Nu? Bine, două săptămâni.

Să nu uitați să faceți un fișier, o pagină pe Intranet… cum știți voi, în care să se poată înregistra toate cererile venite de la clienți, foști angajați, parteneri, cum au fost tratate și când le-ați transmis datele personale. Şi, era să uit, am primit de la un consultant o listă de proceduri de IT pe care trebuie să le implementați și să instruiți personalul. Ceva cu securitate, incidente…. Poate mai au nevoie de două, trei modificări minore. Cum adică avem așa ceva? De ce nu ați spus? Vă descurcați voi, cum v-ați descurcat și până acum…

Și s-au descurcat, iar toată lumea a trăit fericită, iar managementul și-a mai acordat un bonus pentru rezolvarea unei probleme spinoase…

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 52-54. 

Advertisements
%d bloggers like this: