.jpg)
Academia Română a fost creată în 1866 pentru a cristaliza cele mai înalte valori intelectuale din provinciile românești într-o societate erudită menită să consolideze identitatea națională pe baza a patru componente esențiale: limbă și literatură, istorie, etnografie și cultură. La...
Schimbări culturale profunde pentru organizații via GDPR
Cu trei luni înainte de intrarea în vigoare a deja celebrului Regulament General de Protecţie Date (GDPR) emis de Uniunea Europeană, situaţia privind conformarea entităţilor economice private sau publice cu prevederile acestui regulament nu pare deloc roză.
S-a scris şi s-a făcut deja tam-tam pe tema acestui regulament ca fiind unul prioritar de protecţie contra atacurilor cibernetice şi pe tema sancţiunilor asupra entităţilor care nu iau măsuri de acordare a mecanismelor interne de funcţionare la prevederi.
De asemenea, s-a insistat foarte mult asupra rolului jucat în acest nou ecosistem de o persoană denumită Ofiţer responsabil cu Protecţia Datelor sau Data Protection Officer (DPO) în titulatura originală a regulementului.
Ei bine, lucrurile sunt departe de a fi atât de simple. GDPR înseamnă, în realitate, începutul unui întreg proces de schimbare culturală a modului de funcţionare a organizaţiilor, în sensul uniformizării acestuia conform unui set de proceduri şi practici universal valabile peste întreg spaţiul UE şi chiar dincolo de acesta.
Cele de mai sus nu constituie o afirmaţie exagerată. Prezint mai jos doar una din sutele de proceduri pe care operatorii economici care lucrează cu date personale ale persoanelor fizice vor trebui să le adopte şi execute în viitorul imediat. Dintr-o astfel de procedură se vede clar că ecosistemul GDPR va însemna mult, mult mai mult decât responsabilitatea unui ofiţer responsabil cu protecţia datelor numit de conducere.
Procedura GDPR DOC 2.8 se referă la Gestionarea procesării de date sub-contractate terţilor:
1. Scop
Toţi furnizorii externi care procesează date personale în numele –Nume Organizaţie – intră sub incidenţa acestei proceduri.
2. Responsabilităţi
2.1 Ofiţerul responsabil cu Protecţia Datelor/Deţinătorul GDPR, având delegare din partea consiliului, este responsabil de aprobarea selecţiei procesatorilor de date sub-contractaţi, în conformitate cu cerinţele acestei proceduri.
2.2 Deţinătorii relaţiilor cu terţe părţi sunt responsabili de asigurarea contractării tuturor procesărilor externe de date, în conformitate cu această procedură.
2.3 Directorul IT (CIO) este responsabil cu asigurarea resurselor tehnice adecvate şi a altor resurse de care ar putea fi nevoie pentru sprijinirea deţinătorului de relaţie în activitatea de monitorizare şi gestionare a relaţiei.
2.4 Managerul de Calitate este responsabil pentru efectuarea de audituri regulate ale conformităţii terţei părţi.
3. Procedura
3.1 –Nume Organizaţie – selectează doar furnizori care pot oferi securitatea tehnică, fizică şi organizaţională care satisface cerinţele –Nume Organizaţie – în termeni de date personale care vor fi procesate în contul şi numele –Nume Organizaţie.
3.1.1 Departamentul de Procurement dispune controale adecvate [specificare controale] care asigură revizuirea tuturor contractelor pentru a se vedea dacă sunt procesate date personale. Aceste controale sunt efectuate chiar dacă activităţile de procesare date nu reprezintă obiectul principal al contractului.
3.1.2 Controlorul de date va avea grijă ca toate aranjamentele de securitate să fie evidenţiate în contractul cu procesatorul extern.
3.2 Furnizorii dinafara UE [dacă nu este disponibil niciunul din cadrul UE] vor fi selectaţi doar conform următoarelor condiţii, suplimentar faţă de condiţiile consemnate în alte locuri din această procedură:
3.2.1 dacă furnizorul sau statul în care acesta rezidă a fost identificat în mod pozitiv în cadrul unei decizii de adecvare a Comisiei UE; sau
3.2.2 în cazul în care există reguli de firmă legatorii şi măsuri de siguranţă tehnice şi organizaţionale stabilite între –Nume Organizaţie- şi furnizor pentru securizarea drepturilor şi libertăţilor subiecţilor de date la un nivel cel puţin egal cu cel acordat în interiorul UE; sau
3.2.3 în cazul în care aranjamentul a fost aprobat de către autoritatea supervizoare.
3.3 Înainte de angajarea unui furnizor se efectuează o evaluare a riscului de securitate, luând în considerare controalele legate de securitatea informatică din ISO 27001 Anexa A. Evaluările de risc ale furnizorului sunt efectuate în conformitate cu [Procedura de Apreciere Riscuri].
3.4 Dacă Ofiţerul responsabil cu Protecţia Datelor/Deţinătorul GDPR consideră, datorită naturii datelor personale supuse procesării sau a circumstanţelor aparte ale procesării, ca necesară efectuarea unui audit al aranjamentelor de securitate ale furnizorului faţă de cerinţele ISO 27001, atunci acest audit poate fi efectuat înainte de angajarea într-un contract. Auditurile furnizor sunt efectuate în conformitate cu prevederile procedurii de Gestionare Contracte Servicii cu Terţi Managing.
3.5 Organizaţia – Nume Organizaţie - va cere un acord scris de furnizare a serviciului conform specificaţiilor şi va cere furnizorului să confere o securitate adecvată datelor personale pe care le va procesa.
3.6 Toate contractele de procesare date permit organizaţiei – Nume Organizaţie- să efectueze audituri regulate ale aranjamentelor de securitate ale furnizorului în perioada de timp în care furnizorul are acces la datele personale.
3.7 Toate contractele de procesare date vor interzice furnizorilor să folosească alţi sub-contractori fără autorizaţia scrisă din partea –Nume Organizaţie – pentru procesarea de date personale.
3.7.1 În cazul în care organizaţia – Nume Organizaţie - permite unui furnizor să subcontracteze procesarea de date personale, acesta trebuie să interzică contractorului de nivel doi (sau altora aflaţi mai jos pe lanţul de furnizare) să subcontracteze aceste operaţiuni de procesare fără autorizarea scrisă din partea –Nume Organizaţie -.
3.8 Contractele cu sub-contractori de nivel doi vor fi aprobate doar dacă ele cer sub-contractorilor să se conformeze cel puţin acelorlaşi prevederi de securitate şi de altă natură ca în cazul organizaţiei sub-contractoare primare (furnizorul) dacă în ele se specifică faptul că, la terminarea contractului, datele personale înrudite vor fi fie distruse, fie înapoiate către –Nume Organizaţie -, şi aşa mai departe de-a lungul lanţului de sub-contractare.
Deţinătorul documentului şi Aprobatorul
Managerul de Calitate este deţinătorul acestui document şi este responsabil cu asigurarea revizuirii acestei proceduri în conformitate cu cerinţele de revizuire GDPR.
Această procedură a fost aprobată de către Ofiţerul responsabil cu Protecţia Datelor/Deţinătorul GDPR la data de [data] şi este emisă pe bază de versiune controlată sub semnătura lui/ei.
Îngrijorări, limitări, pericole
Cum procedura dată ca exemplu reprezintă doar una din zecile de proceduri şi unul din sutele de documente pe care o entitate ce prelucrează date personale ale cetăţenilor UE va trebui să le îndeplinească, este uşor de înţeles de ce firme mari de consultanţă şi analiză a pieţei îşi exprimă tot mai vocal îngrijorarea privind conformitatea cu prevederile acestui regulament. De dată extrem de recentă, de pildă, gigantul Ernst & Young făcea public un raport în care se afirmă că doar 33% (o treime) din organizaţii la nivelul UE au iniţiat planuri de respectare prin mecansime implementate a termenului de intrare în vigoare a regulamentului: 25 mai 2018.
Complexitatea GDPR înseamnă, evident, şi multe neînţelegeri. De pildă, dacă o organizaţie decide că are nevoie de un ofiţer responsabil cu protecţia datelor, acesta nu poate fi directorul IT. De ce? Interpretările legale ale regulamentului indică faptul că acest ofiţer nu se poate afla în conflict de interese. Ca atare, dacă ofiţerul ar fi directorul IT, cel care este responsabil, să zicem, de gestionarea datelor din perspectivă IT, atunci el nu poate fi responsabil şi de protecţia lor. Esenţialmente, poziţiile manageriale superioare şi chiar cele de nivel mediu, aşa cum sunt directorul IT, directorul de marketing sau directorul de operaţiuni nu pot deţine şi o poziţie de responsabilitate cu protecţia datelor, pentru că ar însemna să-şi semneze singuri propriile declaraţii de conformitate.
Un element interesant legat de GDPR este acela că protecţia datelor nu se referă doar la protecţie contra atacurilor informatice care ţintesc furtul de informaţii personale. De exemplu, în Marea Britanie costă acum circa 10 lire sterline ca o persoană fizică să îşi obţină datele personale conform legislaţiei în vigoare de protecţie date. Conform GDPR, o astfel de cerere va fi gratuită, cu unele excepţii de bun simţ, cum ar fi cererile repetate sau nefondate. Pe cale de consecinţă, organizaţiile trebuie să se aştepte ca tot mai multe persoane fizice să dorească o copie a datelor lor personale aflate în mediile de stocare ale organizaţiei, aici incluzând clienţi sau angajaţi actuali sau trecuţi. Limita de timp pentru a răspunde la astfel de cereri este de 30 de zile, însă dacă o organizaţie primeşte un volum masiv de cereri justificate la un moment dat, va fi ea pregătită să furnizeze datele personale cerute în termenul prevăzut de 30 de zile?
Un alt element interesant este acela că multe firme s-au arătat îngrijorate de ameninţările legate de amenzile usturătoare prevăzute de GDPR pentru neconformitate cu prevederile regulamentului, amenzi care pot merge până la 20 milioane de euro sau 4% din cifra de afaceri anuală a organizaţiei, în funcţie de care e mai mare. Numai că un alt motiv de îngrijorare este acela că, dacă apare o breşă de securitate care antrenează apariţia unui risc major pentru persoane fizice, aşa cum ar fi în cazul furtului de detalii legate de cardul de credit, organizaţia afectată trebuie să notifice persoanele respective asupra evenimentului.
Ei bine, ne putem imagina o astfel de cerinţă de notificare extinsă la nivelul unei întregi baze de date. Panica generată ar putea conduce la un aflux major de cereri din partea persoanelor fizice, efectul fiind acela că o parte din ele ar putea dori să se mute la o organizaţie concurentă. Iar pierderea unui număr mare de clienţi într-o perioadă scurtă de timp ar duce, mai mult ca sigur, la pierderi de reputaţie, venituri şi de altă natură pentru organizaţia respectivă. Toate acestea adăugându-se, evident, la amenzile date de autoritatea responsabilă.
Prevederile GDPR permit persoanelor fizice să depună o plângere la autoritatea competentă în cazul în care datele lor personale nu au fost procesate în conformitate cu GDPR, să depună plângere împotriva autorităţii dacă aceasta nu a luat măsuri corespunzătoare privind soluţionarea plângerii iniţiale şi să pretindă daune din partea organizaţiei care le-a provocat daune ca o consecinţă a neconformării cu prevederile GDPR. Iar astfel de situaţii ar putea duce la apariţia de multiple procese colective şi în Europa, după ce astfel de procese sunt des întâlnite în Statele Unite. O adevărată nebunie, chiar dacă e o pâine albă de mâncat pentru avocaţi!
Iar exemplele pot continua în acest sens. Dincolo de toate acestea, însă, rămâne o certitudine faptul că GDPR are menirea, cel puţin în intenţie, de a produce o schimbare culturală la nivelul unui întreg continent. Să fie oare, în fapt, acest regulament un prim pas concret, chiar dacă impregnat cu multe elemente coercitive, spre stabilirea unei adevărate şi unice identităţi europene pentru cei aflaţi între graniţele UE?
Tags: GDPR
Parerea ta conteaza: 
Asemanator
UE a adoptat DORA, un fel de GDPR al siguranței cibernetice pentru organizațiile din sectorul financiar. Ce presupune noul cadru de reglementare pentru echipele de management?- Milestone XProtect corporate software obține certificarea GDPR-ready
- GDPR la un an de la intrarea īn vigoare. Ce s-a schimbat cu adevărat?
- Evoluția adopției GDPR la șapte luni de la lansare
- Privacy Day 2019: the best moment for a seven months GDPR adoption status analysis
- Ziua Protecției Datelor Private 2019: cel mai potrivit moment pentru a analiza evoluția adopției GDPR după șapte luni
Alte articole scrise de Bogdan Marchidanu
