Numarul 4, Tendințe și analize

GDPR – numărătoarea inversă a început anul trecut. Vezi dacă nu ești pasibil de o amendă care să te falimenteze

Cine intră sub incidența GDPR (General Data Protection Regulation)? Cam orice tip de afacere/organizație care prelucrează date cu caracter personal: instituțiile financiare, furnizorii de utilități, furnizorii de servicii medicale, comerțul electronic, chiar și dezvoltatorii de aplicații când ajung la faza de test.
GDPR (General Data Protection Regulation) este denumirea prescurtată a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).
GDPR a fost publicat în data de 25 mai 2016, iar prevederile sale trebuie puse în practică până la data de 25 mai 2018.
Să scrii un articol despre un Regulament ce conține 173 de paragrafe explicative și 99 de articole este provocator. Ce abordare să folosesc? Agile? Scrum? Waterfall? Veți concluziona la finalul acestui articol dacă am reușit să fiu agil sau am făcut subiectul scrum…
Încep cu amenzile administrative a căror valoare este considerabilă: pot ajunge până la suma de 10 milioane euro sau 2% din cifra de afaceri mondială anuală, luându-se în calcul valoarea cea mai mare (în funcție de natura, gravitatea și durata încălcării) sau, în unele cazuri, chiar până la suma de 20 de milioane euro, sau 4% din cifra de afaceri mondială anuală, luându-se în calcul valoarea cea mai mare (ex. încălcarea cerințelor referitoare la transferurile internaționale sau principiilor de bază pentru prelucrare, cum ar fi condițiile de consimțământ).
Schimbările aduse de GDPR
Nu mi-am propus să fac un inventar al tuturor modificărilor, pentru că nu permite spațiul unui singur articol, ci doar o evidențiere a celor mai importante dintre acestea. De la început trebuie să știm că GDPR spune „ce” trebuie făcut, fără nici o detaliere/explicație despre „cum” trebuie făcute lucrurile: nimic despre instrumente/soluții tehnice, procese, standarde sau modele.
1. Redefinirea datelor cu caracter personal
„orice informații privind o persoană fizică identificată sau identificabilă («persoana vizată»); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;”
Definiția de mai sus este neutră din punct de vedere tehnologic: nu contează cum sunt prelucrate datele, nici unde/pe ce sunt stocate. Astfel, pe lângă clasicul CNP, devin date cu caracter personal numărul cardului bancar, extrasul de cont, fișele medicale, fotografia persoanei, numărul de telefon, adresa de email, numărul de înmatriculare al autoturismului și chiar adresa IP sau adresa MAC sau IMEI-ul telefonului.
2. Asigurarea protecției datelor începând cu momentul conceperii (security by design) și în mod implicit (security by default) (Art. 25)
3. Desemnarea unui responsabil cu securitatea datelor (Art. 37-39, vezi Figura 1)

4. Evaluarea impactului asupra protecției datelor (Art. 35)
5. Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal în maximum 72 de ore (Art. 33)
6. Evidențele activităților de prelucrare (Art. 30)
Nu se aplică unei întreprinderi sau organizații cu mai puțin de 250 de angajați, cu excepția cazului în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date.
Regulamentul stabilește în mod explicit că managementul este responsabil de punerea în aplicare a unor măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc și se actualizează dacă este necesar (Art. 24, vezi Figura 2):

Figura 2

Măsurile tehnice și organizatorice prin care se asigură securitatea datelor cu caracter personal sunt de fapt cuprinse într-un număr de 6 principii pe care managementul operatorului trebuie să demonstreze că le respectă (vezi Figura 3)
Figura 3: cele 6 principii pe care managementul operatorului trebuie să demonstreze că le respectă
De unde începem proiectul pentru asigurarea conformității?
Asigurarea conformității cu cerințele GDPR ar trebui abordată ca orice alt proiect. Consider ca fiind importante 3 etape (vezi și Figura 4):
Figura 4: cele 3 etape importante pentru asigurarea conformității cu cerințele GDPR
1. Evaluarea inițială – în această etapă ar trebui să se identifice starea actuală a organizației prin raportare la cerințele de natură organizatorică/procedurale ale Regulamentului. Poate fi asimilată unei „analize a decalajelor” (gap analysis sau readiness assessment). Rezultatul acestei analize ar trebui să îmbrace forma proceselor, politicilor, procedurilor pe care organizația trebuie să le dezvolte.
Evaluarea inițială ar trebui să acopere aspecte precum: baza legală a prelucrării; drepturile persoanei; obligațiile operatorului; informarea persoanei vizate; securitatea prelucrării; procesul de
notificare a încălcării măsurilor de securitate; asigurarea securității începând cu momentul conceperii și implicit; procesul de evaluare a impactului; responsabilul cu securitatea datelor; transferul datelor.
2. Evaluarea impactului asupra protecției datelor/Evaluarea riscurilor – Politicile și procedurile, chiar dacă sunt obligatorii și probe privind conformitatea cu GDPR nu sunt suficiente. Este nevoie și de măsuri tehnice. Dar pentru a identifica ce tehnicisme vom folosi trebuie să evaluăm impactul/ riscurile asupra asigurării protecției datelor.
3. Testare, evaluare, apreciere – Articolul 32 – Securitatea prelucrării impune existența unui proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
Ce resurse financiare sunt necesare? Este greu de făcut o prognoză înainte de fazele 1 și 2, dar prea ieftin nu va fi. În funcție de specificul organizației, ca soluții tehnice pot rezulta: DLP (data loss prevention), criptare (este obligatorie); soluții pentru monitorizare/securitate la nivel de baze de date; soluții de clasificare/etichetare; soluții de back-up și arhivare; soluții de auditare loguri etc.
Cât durează? Nici la această întrebare nu este simplu de răspuns. Dacă managementul organizației oferă întregul suport și alocă resursele umane necesare (un jurist, persoană IT, responsabil cu securitatea desemnat), proiectul ar putea fi finalizat în 6 luni. Dar acesta este un scenariu optimist.
Concluzie
Deși am putea spune că mai „este timp”, în realitate am cam intrat în ceasul al 12-lea. Entitățile vizate ar trebui să inițieze cât mai curând posibil demersurile pentru asigurarea conformității. De exemplu, dacă un client va fi sunat de banca la care a avut un credit sau de dealer-ul de la care și-a cumpărat mașina și nu există un document prin care clientul și-a exprimat consimțământul pentru astfel de activități, organizația în cauză va putea fi amendată de către Autoritatea de supraveghere a datelor cu caracter personal. La rândul său, fostul client poate cere în instanță daune morale sau materiale.

ETICHETE
GDPR

Distribuie și tu:

START Nominalizări PIN AWARDS 2024!

28 martie 2024

Industria regională de TECH se pregătește să celebreze o nouă serie de recunoașteri prin Gala PIN AWARDS 2024, care va avea loc joi, 23 mai

”The State of Romanian-Born Early Stage Startups 2024” Report

12 martie 2024

This report comes as an effect of a need we had for many years now, that is a need which we know founders feel it too, namely to have a common understanding of the state of Romanian-born early stage startups.

Digital Stack își Consolidează Succesele din 2023 și Anunță Planurile Ambițioase pentru 2024, Anul Transformării Digitale

20 februarie 2024

Digital Stack, lider în dezvoltarea de experiențe de învățare pentru reskilling și upskilling în industria IT, anunță rezultatele și retrospectiva anului 2023 și dezvăluie planurile ambițioase pentru anul 2024, concentrându-se și pe susținerea organizațiilor în implementarea transformării digitale în echipele lor.

Articole similare

PIN magazine - IT și Pisica lui Schrodinger

Industria IT și pisica lui Schrödinger

În 2024, dacă întrebi 100 de manageri IT cum va arăta piața și tendințele din industrie, vei primi tot atâtea răspunsuri paradoxale precum „pisica lui Schrödinger” – unii vor spune că piața dă semne de revenire, alții vor spune că se fac încă disponibilizări și că există presiuni din partea clienților privitoare la proiectele în derulare. Cu alte cuvinte, din perspectiva unora, în 2024 industria IT își va reveni, ne vom întoarce la birou (mai mult sau mai puțin forțați) încurajați de faptul că se reiau angajările și se deschid proiecte noi.

Mihai Gorgos CEO AROBS Software, pinmagazine

A strong invitation to do business in a digital way and access local and global talent

A 7% single tax on sales in Moldova on automotive R&D, design, AI development and semiconductor manufacturing Yes, there is no mistake in the title,

Orange România, partener strategic pentru cele mai importante competiții naționale de securitate cibernetică

Orange România este primul operator local de telecomunicații care s-a implicat în dezvoltarea, organizarea și susținerea celor mai importante competiții naționale de securitate cibernetică. Cu scopul de a contribui la formarea viitorilor specialiști în securitate cibernetică, domeniu cu un deficit de peste 347.000 de angajați la nivel european în 2023, Orange este partener strategic pentru: Campionatul Național de Securitate Cibernetică (RoCSC), UNbreakable România, DefCamp și prima ediție a Olimpiadei Naționale de Securitate Cibernetică (OSC).

Publicația industriei TECH regionale