Printre surprizele economice și fiscale pe care 2018 le va aduce, se află una importantă și relativ ignorată. Numele acesteia este GDPR, General Data Protection Regulation și se referă la Regulamentul 679/2016 emis de Parlamentul European și Consiliul Uniunii Europene, adoptat la 27 Aprilie 2016, publicat pe 4 Mai 2016 cu termen de aplicare 25 mai 2018, care înlocuiește și abrogă Directiva 95/46/CE și implicit Legea 677/2001.
Regulamentul impune un set unic de reguli care se referă la protecția persoanelor fizice în ceea ce privește protecția datelor cu caracter personal și libera circulație a acestor date. Cresc drepturile persoanelor fizice și implicit cresc și obligațiile celor care operează cu aceste date. Printre noutățile pe care GDPR le aduce se numără: creșterea nivelului de transparență față de persoana vizată, responsabilizarea operatorului față de modul în care colectează și prelucrează date cu caracter personal, garanții specifice pentru a proteja viața privată a minorilor în special în mediul online, consolidează drepturile persoanelor vizate și introduce noi drepturi, introduce sancțiuni severe pentru operatorii care nu-l respectă.
Sunt câteva perspective din care eu privesc acest regulament. Prima este perspectiva mea personală de individ ale cărui date sunt colectate, stocate și prelucrate. Am văzut de curând povestea lui Edward Snowden. Filmul este bazat pe o poveste reală descrisă în documentarul Citizenfour din 2014. Bănuiam că astfel de lucruri se întâmplă, dar nu mă gândeam că la această scară și în teritorii în care NSA nu are teoretic nici un fel de jurisdicție. Sigur, un astfel de regulament, nu va împiedica acest gen de autorități să colecteze date despre orice persoană într-un mod justificat. Poate, cel mult, le va face ceva mai responsabile cu privire la scara la care fac acest lucru. După ce am văzut filmul, m-am gândit ceva mai atent la datele mele personale și am realizat ușurința cu care dădeam dreptul unor companii să le colecteze și să le folosească. De la Facebook la Mega Image, aproape toate companiile și uneori chiar și persoane fizice colectează și prelucrează date personale într-o varietate de moduri.
A doua perspectivă este cea de business. Orice afacere are nevoie de astfel de date pentru ca sa funcționeze. Câte date colectează, cum sunt acestea folosite, cum sunt acestea stocate, dacă și cum sunt transferate către alte companii, sunt câteva subiecte care nu sunt transparente în marea majoritate a cazurilor. Există uneori termeni și condiții, care sunt prea lungi pentru a fi citiți în totalitate și în multe situații consimțământul este aproape implicit, fie sub forma unei bife, fie un simplu reply sau continuarea unei activități. Din ce în ce mai multe companii folosesc datele pentru profilarea ta. Un client bine profilat este o mină de aur pentru un marketer. Auzim adesea de furturi de date de la companii mari. Ținând cont de toate acestea și privind dintr-o perspectivă strategică, cred că e nevoie de un grad mai mare de responsabilizare a afacerilor care colectează și folosesc date personale.
A treia și ultima perspectivă este cea de consultant. Îmi place subiectul și am studiat câte ceva. Va fi nevoie de un volum mare de muncă pentru a aduce o afacere la nivelul de conformitate cerut de Regulamentul 679, și simpla citire a acestuia nu este suficientă. Până la această dată, în România nu au apărut norme specifice de aplicare a acestui regulament. Deci, autoritățile au ignorat subiectul. Desigur că orice companie va putea face conformarea prin resurse proprii, dar un consultant poate aduce și o perspectivă din exterior, pe lângă nivelul extins de stăpânire al subiectului.
Date cu caracter personal
Acestea sunt: numele și prenumele, porecla, semnătura, adresa, codul numeric personal, seria și numărul cărții de identitate, seria și numărul pașaportului, cetățenia, locul nașterii, originea rasială, originea etnică, date genetice, date biometrice, caracteristici fizice, stare de sănătate, numărul de telefon, număr de fax, adresa de email, date de trafic, activitatea online, adresa ip, imaginea, voce, loc de muncă, profesia, apartenența sindicală, studii, formare profesională, datele bancare, situație financiară, convingerile politice, cazier, preferințe, obișnuințe, comportament.
În sensul GDPR sunt definite anumite categorii speciale de date care beneficiază de instrucțiuni specifice, de cele mai multe ori restrictive, cu privire la colectarea și prelucrarea lor. Acestea sunt: originea rasială, originea etnică, opiniile politice, confesiunea religioasă, convingerile filozofice, apartenența la sindicate, date genetice, date biometrice pentru identificarea unică, date privind sănătatea, date privind viața sexuală sau orientarea sexuală.
Cui se aplică?
Răspunsul scurt ar fi oricui. Orice entitate, persoană fizică sau juridică, autoritate a statului sau organizație care colectează date cu caracter personal. Persoanele fizice sunt exceptate atunci când colectarea și prelucrarea se face exclusiv în scop personal. Ce se urmărește: sediul operatorului este în UE indiferent dacă prelucrarea are loc sau nu în UE, persoana vizată se află pe teritoriul UE, dacă sediul operatorului nu este în UE, dar produsul sau serviciul este oferit sau prestat în UE, dacă sediul operatorului nu este în UE, dar monitorizarea comportamentului unei persoane vizate se desfășoară pe teritoriul UE (ouch Facebook!).
Când se pot prelucra date personale?
O parte din temeiurile în baza cărora se pot colecta și prelucra date personale sunt: pe baza consimțământului liber exprimat, când se execută un contract, antecontract sau înainte de încheierea unui contract, când este vorba de protejarea vieții sau a integrității fizice a unei persoane, când se îndeplinesc obligații legale, când se îndeplinesc măsuri de interes public, atunci când este vorba de interesul legitim al operatorului. Fiecare din aceste categorii are, desigur, particularitățile sale.
O diferență semnificativă se referă la modul în care se ia consimțământul persoanei vizate și la nivelul de informare pe care aceasta trebuie să-l primească. Consimțământul trebuie primit printr-o declarație sau acțiune fără echivoc, care să fie exprimată ca o manifestare de voință liberă, specifică, informată (în cunoștință de cauză) și lipsită de ambiguitate. Consimțământul trebuie obținut în clar și în mod specific pentru toate activitățile de prelucrare și pentru toate scopurile în clar, atunci când sunt mai multe activități și respectiv mai multe scopuri. Nu va mai fi de ajuns obținerea consimțământului într-o formă implicită, ca și până acum. În cazul copiilor până în 16 ani, consimțământul trebuie obținut de la „titularul răspunderii părintești asupra copilului”, iar regulamentul recomandată verificarea acestuia. Este de asemenea de notat că vârsta poate diferi în funcție de statul din Uniunea Europeană.
Atunci când vorbim despre informarea persoanei vizate, sunt mai multe categorii de informații care trebuiesc obligatoriu oferite cum ar fi: identitatea operatorului, datele de contact ale DPO (Data Protection Officer), dacă acesta există, scopurile în care sunt prelucrate datele, temeiul juridic al prelucrării, destinatarii datelor (daca sunt alții decât operatorul), perioada pentru care vor fi stocate datele. De asemenea, mai este obligatorie și informarea completă cu privire la drepturi, respectiv: dreptul la acces, dreptul la transfer (portabilitate), dreptul la ștergere, dreptul la rectificare, dreptul la restricționarea prelucrării, dreptul de te opune prelucrării, dreptul de a-ți retrage oricând consimțământul, dreptul de a nu fi supus unei prelucrări automate, inclusiv profilare, dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal http://dataprotection.ro/. Dacă prelucrarea se face în temeiul unei obligații legale, persoana vizată trebuie informată cu privire la consecințele nerespectării acelei obligații. În situația în care se ia o decizie automată incluzând crearea de profiluri, se vor furniza informații pertinente privind logica utilizată, importanța și consecințele preconizate ale unei astfel de prelucrări.
Un drept specific nou introdus este dreptul la portabilitatea datelor. Acesta se referă la dreptul persoanei vizate de a solicita transferul datelor către ea personal sau către un alt operator. Pentru a se putea transfera datele este nevoie să existe consimțământul sau un contract cu operatorul și acesta să dispună de mijloacele automate pentru a face asta. Datele care pot fi portate sunt: date furnizate de persoană (în mod direct și activ, prin observarea persoanei, exclude datele derivate sau deduse); date despre persoană (inclusiv datele pseudonimizate, exclude datele anonime); date despre terți (dacă sunt transferate persoanei vizate, dacă sunt transferate altui operator pentru prelucrare în același scop, exclude prelucrarea în alt scop, cum ar fi de exemplu în scop de marketing). Datele se vor transfera într-o formă structurată și într-un format utilizat în mod curent care să poate fi citit automat. Operatorul are obligația să transfere datele în termen de cel mult o lună de la primirea solicitării sau în termen de o lună să refuze transferul specificând și motivul pentru acesta. Termenul poate fi prelungit cu două luni cu condiția unei notificări în termenul inițial de o lună.
Responsabilul cu Protecția Datelor (DPO)
Este o persoană, angajată sau colaborator extern, care va îndeplini o serie de funcții specifice cu privire la prelucrarea și protecția datelor. Angajarea acesteia este obligatorie pentru: autoritate sau organism public, atunci când activitatea principală a operatorului constă în monitorizarea periodică și sistematică pe scară largă a unor date cu caracter personal, atunci când activitatea principală a operatorului constă în prelucrarea pe scară largă a unei categorii speciale de date. Activitatea principală în sensul acestui regulament nu se referă la obiectul principal de activitate, ci la activitatea principală desfășurată efectiv de operator. Monitorizarea periodică și sistematică presupune o activitate continuă și recurentă, care implică prelucrări de date. Pe scară largă este considerată una din următoarele situații: când numărul persoanelor vizate este un număr exact, ori un procent din populația relevantă; când volumul datelor este consistent și/sau conține o gamă de elemente diferite de date în curs de prelucrare; când prelucrarea este de durată sau permanentă; când suprafața geografică a activității de prelucrare este mare. Angajarea unui DPO este, totuși, recomandată pentru toți operatorii de date cu caracter personal, chiar dacă nu se încadrează în cele trei categorii menționate mai sus.
Nu există o certificare prevăzută prin regulament pentru acesta, dar se menționează că trebuie să cunoască și să stăpânească bine: legislația și practicile din domeniul prelucrării datelor cu caracter personal, să înțeleagă afacerea la modul general și procesele prin care se colectează prelucrează date cu caracter personal, să aibă o bună înțelegere a proceselor IT și a securității datelor, să aibă abilitatea de a promova protecția datelor în organizație.
Activitățile pe care un DPO le desfășoară sunt: consultanță/consiliere cu privire la obligațiile în temeiul GDPR; monitorizează respectarea GDPR și a politicilor interne cu privire la protecția datelor personale, oferă consultanță/consiliere în cadrul unor evaluări de impact (atunci când acestea sunt necesare); cooperează cu autoritatea de supraveghere; este punct de contact pentru autoritatea de supraveghere și pentru persoanele vizate; răspunde la solicitările persoanelor vizate; oferă training intern și face constant eforturi de informare cu privire la prelucrarea datelor personale în interiorul organizației.
La rândul ei, organizația care angajează un DPO trebuie să îndeplinească anumite cerințe în raport cu acesta: să păstreze caracterul de independență al acestuia în raport cu alte activități desfășurate de organizație, să ofere acces la top management, să-i se aloce fonduri/resurse suficiente, să aibă acces la personalul și operațiunile de prelucrare. DPO nu este personal responsabil și nu poate fi demis sau sancționat de operator sau persoană împuternicită de operator pentru îndeplinirea sarcinilor sale (de exemplu cand nu se ține cont de recomandările lui). În toate situațiile operatorul este responsabil cu privire la obligațiile ce decurg din acest regulament. DPO poate fi sancționat cu privire la orice alte fapte care nu sunt legate de activitatea lui pe linie de protecția datelor.
Evaluarea de impact
Se referă la impactul pe care colectarea și prelucrarea datelor cu caracter personal o are asupra drepturilor și libertăților fundamentale ale persoanelor. Evaluarea de impact este obligatorie: când prelucrarea este automată, inclusiv activitățile de profilare; când se face o prelucrare pe scară largă a unor categorii speciale de date; când se face o monitorizare sistematică pe scară largă a unei zone accesibile publicului. Evaluarea de impact trebuie să se facă anterior colectării și prelucrării datelor și va conține: descrierea operațiunilor, a scopului, a interesului legitim; evaluarea necesității și proporționalității cu scopul; evaluarea riscurilor; măsurile preconizate. Interesul legitim ar putea exista, de exemplu, atunci când există o relație relevantă și adecvată între persoana vizată și operator, cum ar fi cazul în care persoana vizată este un client al operatorului sau se află în serviciul acestuia.
În cadrul evaluării de impact, evaluarea riscurilor se va face luând în considerare următoarele aspecte: se va ține cont de perspectiva persoanelor vizate, natura datelor, domeniul de aplicare, contextul în care se face colectarea și prelucrarea, scopurile prelucrării, utilizarea noilor tehnologii.
Securitatea datelor
Operatorul este obligat să asigure un nivel de securitate corespunzător prin măsuri tehnice și organizatorice, cum ar fi, dar fără a fi limitate la: controlul accesului (parolă, pin, amprentă); criptarea datelor; managementul dispozitivelor mobile; disaster recovery; backup cu redundanță; auditarea furnizorilor de soluții; testarea penetrării (împotriva atacurilor de tip phishing, malware); evaluare de tipul breach response mock-up; politici interne; monitorizare periodică; certificare ISO 27001/27018; instruirea periodică a angajaților etc.
Incidentele de securitate pot și accidentale sau ilegale și constau în: distrugerea, pierderea, modificarea, divulgarea neautorizată, accesul neautorizat parțial sau în totalitate asupra unor date colectate și prelucrate. În conformitate cu prezentul regulament, devine obligatorie notificarea autorității de supraveghere în termen de maxim 72 de ore de la eveniment. Această notificare va conține: natura încălcării, datele de contact ale DPO (daca există), consecințele probabile, măsurile luate.
Operatorul are obligația de a documenta toate incidentele de securitate menționând: situația de fapt, efectele incidentului și măsurile luate. De asemenea, mai are obligația de a notifica persoanele vizate dacă incidentul este susceptibil să genereze un risc ridicat pentru drepturile și libertățile lor sau la solicitarea Autorității de Supraveghere. Măsurile vizate pot conține fără a fi limitate la: proceduri interne de identificare, notificare și răspuns la incidente; polițe de asigurare de tipul „cybersecurity”; limitarea răspunderii legale prin contract (exemplu drept contractual de regres împotriva împuternicitului).
Registrul operațiunilor de prelucrare
Este obligatoriu pentru toți operatorii cu mai mult de 250 de angajați. Pentru entități cu mai puțin de 250 de angajați este obligatoriu în următoarele situații: dacă prelucrarea este susceptibilă să genereze un risc, dacă prelucrarea nu este ocazională, dacă prelucrarea include categorii speciale de date. Acest registru va conține evidența activităților de prelucrare atât pentru operator, cât și pentru împuterniciți (dacă aceștia există).
Pentru operator acesta va conține: datele de contact ale operatorului și ale DPO (dacă există), scopurile prelucrării, categoriile de persoane vizate, categoriile de date prelucrate, transferurile de date și documentația care dovedește existența unor garanții adecvate, termenele limită preconizate pentru stocarea datelor, descrierea măsurilor tehnice și organizatorice de securitate. Pentru împuternicit registrul va conține: datele operatorilor pentru care acesta lucrează, categoriile de activități de prelucrare pentru fiecare operator, transferurile de date și documentația care dovedește existența unor garanții adecvate, descrierea măsurilor tehnice și organizatorice de securitate. În sensul acestui regulament, persoană împuternicită de operator înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului.
Sancțiuni și amenzi
Persoana vizată are dreptul de a depune o plângere la Autoritatea Națională de Supraveghere. De asemenea, aceasta mai poate efectua o acțiune directă împotriva operatorului/împuternicitului pentru recuperarea prejudiciului material/moral și/sau pentru răspunderea solidară dacă sunt mai multe entități. Acțiunile pot fi exercitate de organisme colective active în domeniul GDPR.
În situația unei plângeri, Autoritatea poate decide următoarele tipuri de remedii sau sancțiuni: să emită avertizări, să emită mustrări, să dea dispoziții, să oblige operatorul să informeze persoana vizată în cazul unor incidente de securitate, să limiteze sau să interzică prelucrarea, să dispună rectificarea sau ștergerea datelor, sau restricționarea prelucrării. În funcție de circumstanțe, amenzile sunt impuse în completarea sau în locul măsurilor menționate.
Amenzile administrative au două praguri. Primul prag este de 10.000.000 euro sau până la 2% din cifra de afaceri și se referă la următoarele categorii de încălcări: consimțământul minorilor, privacy by design, alocarea responsabilității între operatori neasociați, numirea unui reprezentant în UE, respectarea de către împuternicit a instrucțiunilor operatorului, păstrarea evidențelor activității de prelucrare, cooperarea cu Autoritatea Națională de Supraveghere, securitatea prelucrării, neefectuarea studiilor de impact, numirea unui DPO, notificarea încălcărilor. Al doilea prag este 20.000.000 euro sau până la 4% din cifra de afaceri pentru încălcări care privesc: principiile prelucrării, consimțământ, drepturile persoanei vizate, transferuri internaționale, încălcarea măsurilor dispuse de autoritatea naționala de supraveghere, obligații potrivit dreptului național.
Concluzii
În spiritul acestui regulament pot fi identificate mai multe categorii de obligații pentru operatorii de date cu caracter personal. Prima categorie se referă la informarea persoanelor vizate și obținerea consimțământului. A doua categorie se referă la obligația operatorului de a ține o serie de evidențe cu privirea la prelucrarea datelor. A treia categorie se referă la obligativitatea de a angaja un DPO și relația cu Autoritatea Națională de Supraveghere. A patra categorie se referă la activitățile organizatorice interne care pot crește gradul de conformare la activitățile de colectare și prelucrare de date cu caracter personal, de exemplu proceduri interne, contracte specifice și traininguri periodice. Ultima categorie se referă la mijloacele tehnice care pot crește gradul de conformare la activitățile de colectare și prelucrare de date cu caracter personal, de exemplu tehnologie pentru securitatea infrastructurii IT, a accesării și a stocării datelor.
Orice operator poate face un proiect GDPR prin resurse proprii sau apelând la ajutorul unui consultant. Acest proiect ar trebui să conțină câțiva pași. Ca exemplu, acești pași ar putea fi următorii, dar fără a fi limitați la:
Informare primară. Care sunt procesele din cadrul companiei în care se colectează și se prelucrează date cu caracter personal? Cine operează aceste procese? Ce date sunt colectate și prelucrate? De ce se colectează și se prelucrează aceste date? Această întrebare trebuie privită atât din perspectiva necesitații interne de business, cât și a temeiurilor în care acesta se face. Unde se stochează aceste date? Sunt transmise aceste date terților? Dar în alte țări? Până când se face prelucrarea și stocarea datelor? Cum se face?
Analiză. În acest punct se face analiza informațiilor adunate, inclusiv o analiză tehnică din perspectiva sistemelor IT, cât și o analiză organizatorică din punct de vedere al politicilor, proceselor și procedurilor existente. Tot în acest pas se analizează relația cu terții și/sau împuterniciții dacă aceștia există. Este recomandat și un audit al contractelor legale cu aceștia. Se vor urmări cele cinci categorii de obligații descrise mai sus: informarea persoanelor vizate și obținerea consimțământului, evidențele necesare, obligativitatea a angaja un DPO, activitățile organizatorice și măsuri tehnice. La finalul analizei se vor evidenția decalajele între situația existentă și cerințele GDPR.
Decizie. În acest punct se identifică metodele de micșorare a decalajelor identificate la punctul anterior. Acestea pot fi măsuri de tipul informării angajaților și colaboratorilor, măsuri organizatorice și/sau tehnice de tipul celor menționate deja (proceduri, sisteme de securitate, contracte), măsuri privind comunicarea și interacțiunea cu persoanele vizate. Toate măsurile pot fi prioritizate în funcție de riscurile care decurg din încălcarea acestora.
Implementare. Pasul final constă în selecția și implementarea unora sau tuturor măsurilor selecționate la punctul 3.
În funcție de tipul activității operatorului, de complexitatea acesteia, acești pași pot diferi atât ca număr, cât și complexitate. Cei patru pași de mai sus constituie doar un exemplu, fără a fi o garanție cu privire la conformitatea cu GDPR.
Câteva acțiuni care merită luate în considerare: ștergerea datelor care nu sunt necesare, stabilirea modalităților prin care persoanele vizate își pot exercita drepturile, dacă consimțământul obținut nu este conform cu cerințele GDPR acesta trebuie re-obținut pentru prelucrările în curs, verificarea necesității unei evaluări de impact, verificarea contractelor care implică date personale, verificarea transferurilor de date către alte țări și a temeiurilor lor, comunicarea schimbărilor în organizație și programe de training, verificarea și validarea măsurilor de securitate implementate. Adoptarea unor politici interne pe cel puțin câteva direcții: în ceea ce privește prelucrarea și modificarea datelor, pentru răspuns la cererile persoanelor vizate, pentru răspuns la încălcările de securitate, pentru schimbarea prestatorului.
Politicile interne care privesc asigurarea confidențialității și securității prelucrării vor ține cont de următoarele aspecte: pseudonimizarea și criptarea datelor cu caracter personal, capacitatea tehnică de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare, capacitatea tehnică de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică, un proces pentru testarea, evaluarea și aprecierea periodică ale eficacităţii măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
Se introduce de asemenea conceptul de Privacy By Design care se referă la dezvoltarea aplicațiilor noi în conformitate cu normele GDPR, avându-se în vedere, încă din faza de proiectare, următoarele aspecte: minimizarea colectării datelor în funcție de scop; politica de cookie-uri; perioada de stocare; informațiile furnizate persoanelor vizate; obținerea consimțământului persoanelor vizate; securitatea și confidențialitatea datelor cu caracter personal; garantarea rolului și responsabilității părților implicate în efectuarea prelucrării datelor.
Un alt concept care se introduce este Privacy by Default, care se referă la furnizorii de aplicații care prelucrează date personale. Acesta se referă la setările inițiale care le vor permite utilizatorilor să își mențină controlul asupra vieții lor private/asupra a ceea ce postează sau împărtășesc cu alți utilizatori. Utilizatorul poate alege să dezvăluie mai multe informaţii/date personale, însă trebuie să o facă în cunoștință de cauză, nu implicit (datorită setărilor iniţiale).
