Despre GDPR

Management & Calitate

de Mircea Badut

Publicaţiile de management și cele de informatică (fie tipărite, fie on-line) ne prezintă impactul GDPR ca fiind aproape la fel de disruptiv cum se prevedea odinioară „virusul anului 2000” (Y2K). Pentru că, da, de pe 25 mai, intrarea în aplicare a reglementărilor europene privind protecţia datelor personale pare că va perturba serios tot ceea ce înseamnă informaţie digital privind persoanele fizice. GDPR arată importanţa pe care comunitatea internaţională o acordă astăzi chestiunii protejării datelor personale.

Conform normelor GDPR emise de Uniunea Europeană – norme care sunt dezbătute tot mai frecvent în ultimele săptămâni –, toate organizaţiile (întreprinderi comerciale, instituţii administrative etc.) care folosesc informaţii referitoare la persoane vor fi obligate, începând cu 25 mai 2018, să se conformeze unor reguli stricte privind felul în care colectează, utilizează, prelucrează şi stochează astfel de informaţii, fi e că este vorba de date digitale (virtuale), fie că sunt documente fi zice (tipărite/xerografiate).

Însă înainte de a ne arunca în vâltoare, ca un mic recul, trebuie spus că în esenţă GDPR este la noi doar un update pentru o legislaţie care există de multicel. Da, Legea nr. 677 reglementează încă din 2001 aspectele privind prelucrarea datelor cu caracter personal, astfel că actualele norme europene doar o extind, o completează şi o pun cu vigoare în practică.

GDPR, în original

Regulation (EU) 2016/679 – Regulation on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).

Ce-i de făcut?

Vom începe să conştientizăm impactul acestui val de reglementări – în sensul că foarte puţine vor fi organizaţiile neafectate de GDPR – luând aminte că sintagma „date cu caracter personal” se referă atât la clienţii şi/sau benefi ciarii organizaţiei  (persoane fi zice) cât şi la propriul personal, la salariaţi. Însă poate mai convingător va fi aspectul că sintagma respectivă vizează chiar orice tip de informaţie care se referă la vreun om (indifferent că îl identifi că unic sau nu): nume, CNP, număr de telefon, adresă de e-mail, adresă de domiciliu, posesiuni, xerocopia cărţii de identitate, imaginea chipului etc., etc. Astfel că mai toate procesele din organizaţia noastră, fie ele de business sau administrative, care folosesc date de acest fel pot fi afectate de măsurile pe care GDPR ne obligă să le luăm pentru a le proteja. Şi vom vedea că este vorba de o mulţime de măsuri organizatorice şi tehnice: limitarea/minimizarea accesului; parolarea accesului; criptarea datelor stocate; criptarea transmisiilor de date ş.a.m.d.

Însă înainte de a intra în oarece detalii, voi sublinia faptul că, în acest context, termenul „prelucrare” referitor la datele personale nu are sensul său literal (de transformare a informaţiei), ci cuprinde toate procesele referitoare la informaţia personală: captare, vizualizare, afişare, reagregare, transmitere, stocare. Deci nu putem scăpa invocând această hibă lingvistică.

Revin însă la întrebarea „dar mă priveşte GDPR-ul pe mine?”. Spuneam că va trebui, cel puţin, să securizăm datele propriilor angajaţi, însă efortul acesta nu va fi unul substanţial. Problema devine spinoasă când intră în discuţie datele clienţilor/ beneficiarilor. Dacă eu sunt o organizaţie non-guvernamentală care nu colectează deloc date ale persoanelor fi zice, atunci probabil că nu voi fi vizat niciodată de ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, pentru că aceasta administrează Legea 677 şi directiva GDPR). Însă dacă sunt o fi rmă comercială cu clienţi persoane fi zice (producător de bunuri de consum; bancă; firmă de asigurări; operator de telefonie/internet; etc.) sau o instituţie publică (administrativă, financiară, spitalicească etc.), atunci sunt obligată să parcurg transformările interne pe care le solicită noua legislaţie pentru securizarea datelor personale.

Şi cam ce trebuie pregătit/făcut

Poate că elementul cel mai semnificativ din această reformă a „protejării datelor personale” este faptul că organizaţia trebuie să obţină, explicit sau implicit, consimţământul fiecărei persoane vizate, privind colectarea/procesarea de date proprii.

Astfel, toate formularele/mijloacele care colectează date personale (fie ele electronice sau pe hârtie) trebuie să cuprindă explicit formularea privind acordul persoanei. Un alt exemplu, de factură implicită: camerele de securizare video trebuie să fie însoţite de afişul cu avertismentul de „zonă supravegheată video” (iar atunci acordul persoanelor va fi considerat prin acceptul lor de a intra în raza de acţiune a camerelor).

Apoi, în faza cea mai laborioasă şi (probabil) cea mai costisitoare, va trebui să modificăm procedurile de lucru astfel încât să întărim protecţia datelor personale. Şi mă voi referi doar la partea digitală, informatică, pentru a sublinia esenţialul: toate echipamentele de stocare şi prelucrare a datelor personale trebuie să fie securizate. Atât serverele de date, cât şi staţiile de lucru PC (desktop sau notebook) vor avea acces parolat, iar utilizatorii de pe fluxul de lucru vor avea drepturi minime de administrare. Software-ul calculatoarelor din organizaţie va avea activate/instalate funcţii de protecţie (update, fi rewall, antivirus/antimalware).

Reţelele de calculatoare trebuie să fie protejate prin politici de acces/securitate (gen Active Directory din Windows), prin fi rewall-uri hardware, routere cu reguli, switch-uri cu management etc. Acele comunicaţii la distanţă cu informaţii digitale ar trebui derulate numai prin canale securizate (VPN, VLAN). Până şi bazele de date din aplicaţiile ERP se doresc a fi criptate. Dar notăm faptul esenţial că impactul GDPR va fi cu atât mai puţin disruptiv pentru organizaţie cu cât astfel de măsuri sunt deja implementate (sau măcar iniţiate).

Întreg acest val de reformă tehnică a securizării trebuie susţinut de măsuri administrative, în primul rând referitoare la resursele umane: da, toate persoanele afectate de conformarea cu GDPR ar trebui să beneficieze de o instruire concretă, atât pentru înţelegerea esenţei (necesitatea asigurării caracterului privat; riscul afectării funcţionalităţii organizaţiei; vulnerabilitatea legală), cât şi pentru asimilarea mecanismelor tactice (însuşirea modificărilor din procedurile de lucru).

Procesare pe scară largă

Am lăsat pentru final particularitatea rezervată organizaţiilor considerate având „procesare pe scară largă” de date personale. Iniţial, drafturile documentelor legislative propuneau o limită de discriminare a organizaţiilor vizate de GDPR, şi anume „minimum 250 de salariaţi”.

Între timp, s-a renunţat la acea limită (stabilită arbitrar, în fond), iar acum normele speciale vizează orice organizaţie care face „procesare pe scară largă” de date personale. (Observăm că deocamdată lucrurile sunt vagi şi modelabile. Şi – dacă tot am intrat în paranteză – putem specula că va dura ceva până la conformarea deplină cu GDPR şi că legislaţiile ţărilor membre UE vor avea şi ele diverse ajustări pe parcurs.)

Ei bine, aceste „organizaţii mari” (şi vor fi destul de multe) trebuie să parcurgă mai multe etape pentru conformarea GDPR. În primul rând, vor trebui să deruleze o auditare riguroasă a stării actuale de securizare a datelor personale din ograda proprie, şi o vor face probabil apelând la servicii externe, desi teoretic aceasta ar fi posibilă şi prin efort intern. (Raportul de audit va consemna, pe categorii, atât starea curentă, cât şi nivelurile la care trebuie să se ajungă pe respectivele categorii.) Apoi, vor trebui să definească în organigramă (sau să angajeze) un DPO – data protection officer – adică, o persoană care să asigure permanent auditarea internă privind securizarea informaţiilor personale. Referitor la acest DPO, cu rol-cheie în perspectivă, diverşii guru ai GDPR încă dezbat dacă acea persoană trebuie să fie un jurist cu cunoştinţe informatice sau un informatician cu studii juridice. Însă în lunile următoare, astfel de lucruri se vor mai lămuri.


Accept cookie

www.ttonline.ro utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru.

Te informăm că ne-am actualizat politicile pentru a integra în acestea și în activitatea curentă a www.ttonline.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera
circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru, te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politicii de Cookie.

Prin continuarea navigării pe Website-ul nostru confirmi acceptarea utilizării fişierelor de tip cookie conform Politicii de Cookie. Îți mulțumim pentru acest accept și nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookie.

Da, sunt de acord