MOST FREQUENT MISTAKES IN GDPR ADOPTION PROJECTS

Here is a summary of the most common mistakes that arise in adopting the sets of measures designed to ensure GDPR compliance. We need to learn from these mistakes and become proactive. Only in this way we can demonstrate our accountability, the seventh GDPR principle (as some consider) and become responsible for our responsibility.

Lack of a project plan – the decision to “do something for the GDPR” was most often made under pressure, passing the responsibility of someone from IT or from the Legal, who started why they thought it was more urgent. Of course, anyone can lead an action team, but without a step-by-step implementation project, it is difficult to see the end of the road and to make the alignment efforts more efficient.

Nothing was done until the appointment of a DPO – this delayed things quite often, wasting precious time to initiate organizational measures, which could also be taken in the absence of a DPO, where the appointment is mandatory.

Incorrect understanding of the notion of ”Personal Data” – the definitions in Art.4, the preambles and WP29 guides did not solve the problem of correctly identifying personal data. There are many websites that at the Cookies Policy declare that they do not use personal data. Certainly their administrators did not find out that IP is considered as personal data, they simply did not bother to update their policies…

The difficulty in establishing the role of Controller or Processor – the mere analysis of the fact that an organization determines the purpose and the means is not sufficient to assume the Controller role. There is still a lot of confusion between the position of Processor and that of Joint Controller or Independent Controller (B2B). The most omitted idea is the same organization may play different roles in the processing of personal data, depending on the business process being analysed.

Excess of Consent – too much emphasis is placed on obtaining the agreement, to the detriment of the other 5 legal grounds that can justify the processing of personal data. You can avoid the need to obtain consent by introducing an additional provision in a contract. Moreover, it does not take into account the requirement that a consent can always be proven, in the idea that it can be withdrawn with the same ease with which it was obtained.

Lack of online transparency – Many organizations that have a website do not show transparency by not publishing a Privacy Policy or Notifications for processing personal data. The presence of a page with the privacy policy of the organization is a public declaration of conformity and a label is trusted for the way the personal data is processed.

Non-updating of content – There are concerns that many of the sites that publish a Privacy Policy have not updated their content, referring to Law associated with EU Directive from 1995 or continuing to display the Registration Number as National Operator of Personal Data. This may be a reflection of the fact that the organization to which the site belongs has not made enough efforts to ensure the alignment, failing to update the only visible content, meant to publicly confirm compliance and take responsibility for the personal data processed.

Deficiencies of Internet pages – a lot of public sites do not have a Terms and Conditions page, which establishes rules for accessing and browsing online, although this is not a GDPR requirement, but a rule of conduct for all organizations present. Internet.

 Lack of cookies bar – There are many sites that, although they have a page dedicated to the cookie policy, do not have a cookie bar that requires them to accept their use before starting browsing the site.

Unnecessary Acceptance of Privacy Policy – There are many websites that use online forms for collecting personal data (newsletter sign-ups, contact page, document downloads, etc.) and make it necessary to send this data by checking a box to accept the Privacy Policy. Why do we ask for this approval? It is my Policy as a Data Controller and it is public. At most I can make a reference informing that the personal data collected through the form are processed only for the purpose for which they were collected, according to the Privacy Policy.

Lack of granularity in requesting the agreement – there is excessive use of the Legitimate Interest, as a legal basis for marketing processes, which also involves third parties, without a granular approach to the types of activities that fall into this category of processing activities.

Granularity Abuse – granular pop-up pages are displayed, with the possibility of setting options, but which appear with pre-ticked acceptance boxes – a serious contradiction of the rules for requesting/obtaining consent in the spirit of GDPR.

Conditional consent without the possibility of opt-out – the vast majority of cookie bars offer only the option of OK, with the condition of continuing browsing by choosing this option. As I pointed out in a previous analysis, not everything the old ePrivacy law allows is GDPR acceptable, where consent to the use of cookies does not have to be conditional on access to the content of the page. Of course, the user must know the consequences of not accepting cookies, but this must be his freely agreed option. Moreover, the GDPR teaches us that a consent obtained through a certain process must be as simple as possible. That is, if I put a box of Accept on the cookie bar, it is absolutely advisable to offer the possibility of opt-out, by displaying a box of Reject.

Protection vs. Security – there is a high degree of confusion between data security and personal data protection. Data protection involves all the measures that can be taken to restore them in case of loss or corruption. While data security refers to the mechanism for keeping data safe, from unauthorized access and distribution. Data security protects data from unauthorized access that could lead to data corruption or deletion, if data security strategy fails, data protection facilitates the recovery of clean data copies.

Incident vs. Security breaches – At the same time, there is confusion between Security incidents and Data breaches. An incident can be any event that violates the security or confidentiality policies of an organization and can be anything from a malfunction of a memory unit, to the loss of a laptop containing personal data. A data breach, on the other hand, is an event that led to a loss or theft of data, the severity of the loss being quantified by the volume and importance of the data affected. By Art.33 the GDPR obliges the organizations to report a data breach within a maximum 72 hours from the awareness of the breach, recommending a breach plan and organizing a response team to the data breach. One of the duties of this team is to keep a strict record of the Security incidents, in the idea of ​​being able to later associate the emergence of a breach of the vulnerability of the system that led to its occurrence.

Can all these problems be solved? Surely, yes, as long as everyone involved understands and takes responsibility. The success of a long-term GDPR project is based on creating an organization-wide culture, in which people primarily think about how they would like their personal information to be processed. Companies must adopt this attitude when handling personal data of customers, employees and other subjects. It’s not just about threatening financial sanctions. It’s about business continuity and building a trustworthy attitude.

Advertisements

27% DINTRE COMPANIILE IT NU DAU PREA MULTĂ IMPORTANȚĂ POLITICILOR GDPR DE PE WEBSITE

Prin publicarea politicilor publice pe un Website, o companie trebuie să facă dovada clară a transparenței în prelucrarea datelor personale, asumându-și și dovedindu-și responsabilitatea. Asta poate asigura o etichetă de încredere pentru tot ecosistemul de business de care aparține.

În ”STUDIU CONFORMITATE GDPR POLITICI WEBSITE COMPANII IT” realizat de  GDPR READY, se face o analiză asupra existenței, dar și a conținutului politicilor publice de pe site-urile a 150 de companii de IT din România, ceea ce reprezintă o radiografie obiectivă a gradului de conformitate GDPR  pentru cei mai importanți jucători din industrie.

METODOLOGIE

Studiul de conformitate s-a bazat pe o analiză generală preponderent calitativă pe un număr de 150 de site-uri, ale unor companii din zona IT selectate pe baza rezultatelor de profit publicate de Registrul Comerțului. Scopul Analizei GDPR Ready este acela de a vedea în ce măsură companiile de IT din România au găsit resursele necesare pentru asigurarea alinierii la noul Regulament UE 679/ 2016. Paginile de Web care  conțin politicile publice ale organizației reprezintă cea mai elocventă carte de vizită pentru stadiul de conformitate în care se găsește o companie de top.

Companiile IT analizate sunt producători de echipamente hardware, producători software, integratori de sistem, furnizori de servicii Cloud și infrastructură, distribuitori, reselleri și magazine online.

Analiza a urmărit cu precădere modul în care pe site-urile din eșantionul de cercetare se regăsesc politicile publice ale organizației:

  • Politica de confidențialitate (sau Politica de prelucrare a datelor personale),
  • Pagina de Termeni și Condiții actualizată conform GDPR
  • Pagina dedicată Politicii de Cookies, actualizată din perspectiva regulilor GDPR de obținere a consimțământului
  • Prezența notificărilor de confidențialitate asociate oricărei formă de colectare a datelor personale ale vizitatorului unei pagini Web,
  • Prezența formularelor de adresare a solicitărilor de acces la datele personale,
  • Prezența informațiilor de contact ale DPO/ responsabilului cu protecția datelor personale.

Analiza s-a bazat pe evaluarea conținutului publicat pe site-urile din eșantionul studiat, pe baza unor criterii de analiză, cărora li s-a atribuit ponderi diferite, în funcție de importanța aspectului urmărit.

Forma de prezentare a conținutului

  • Poziționare pe site
  • Ușurința accesului la informație
  • Vizibilitate
  • Acuitatea informațiilor prezentate
  • Structurarea conținutului la cerințele Art. 13 și 14 din GDPR

Prezența unor informații esențiale :

  • Datele de contact pentru probleme de GDPR
  • Adresa de contact DPO
  • Drepturile persoanelor vizate – pondere specială
  • Afișarea versiunii și a datei publicării pe site
  • Drepturi de proprietate intelectuală
  • Disclaimer site parteneri
  • Date de contact
  • Versiune
  • Ce tipuri de Cookies se folosesc
  • Perioada de activitate a acestora
  • Cum se poate renunța la Cookies

Forme de publicare a barei de Cookies:

  • Bară pop-up statică sau mobilă cu opțiune unică de acceptare a Politicii pentru continuarea navigării – pondere specială
  • Bară cu notă de informare și link către Politica de Confidențialitate/ Detalii despre Cookies
  • Bară cu posibilitate granulară de acord pentru fiecare categorie de Cookies – pondere specială
  • Buton de Opt-Out (Renunțare) – pondere specială

Puteți găsi o descriere mai amplă a premiselor și metodologiei utilizate în articolul: ”ANALIZA GDPR READY: POLITICILE DE PE WEBSITE CA IMAGINE PUBLICĂ A CONFORMITĂȚII”, publicat în 29 mai 2019.

REZULTATE

Unul dintre obiectivele vizate de această analiză, care a studiat 150 de site-uri ale unor companii IT, a fost evaluarea generală a prezenței politicilor publice pe Website. Cele șase tipuri de politici studiate au fost analizate din perspectiva prezenței pe site-urile Web, criteriile de apreciere fiind prezența pe site, absența paginii respective sau prezența parțială (incompletă) – de exemplu, notificările specifice unei politici sunt descrise în alte pagini decât cele dedicate.

Care sunt principalele rezultate relevate de acest studiu?

Pentru o clasificare generală a fost analizată distribuția procentuală a indicelui de conformitate GDPR rezultat în urma criteriilor de analiză aplicate:

  • 16% dintre companiile IT studiate nu au nicio formă de referire la politicile GDPR
  • 11% dintre paginile studiate au un indice redus de conformitate (1%-25%)
  • 47% dintre companiile de IT studiate au un nivel mediu-redus de conformitate (26%-50%)
  • 25% dintre paginile Web studiate au un indice peste mediu de conformitate (51%-75%)
  • Doar 1% – o companie de IT a îndeplinit criteriile asociate unui indice bun de conformitate (peste 75%)

Din analiza Politicilor de conformitate reiese că: Doar 63% dintre site-urile companiilor de IT au o Politică de Confidențialitate, 29% nu au o astfel de politică, deci nu se aliniază principiului de transparență privitor la protecția datelor personale. Restul de 8% au  politică incompletă: Fie nu au actualizat conținutul de pe site, fie conținutul publicat nu atinge toate elementele esențiale care trebuie să existe într-o astfel de politică.

Din perspectiva analizei paginilor de Termeni și Condiții: Doar 41% dintre siteuri au o pagină de Termeni & Condiții, în timp ce 49% nu au o astfel de pagină, deși aceasta ar trebui să se regăsească pe orice site public.

La analiza prezenței și conținutului paginilor de Cookies se relevă că: Doar 42% dintre companiile IT folosesc Cookies și au o pagină dedicată Politicii de Cookies, 40% dintre paginile studiate nu au o astfel de politică, iar 18% dintre Politicile afișate sunt incomplete, neoferind toate elementele de cunoaștere esențiale sau sunt neactualizate.

În fine, cele 91 de  site-uri care afișează o bară de Cookies au fost analizate din perspectiva conformității cu regulile GDPR de obținere a consimțământului, modul de afișare și conținutul barelor de Cookies, prezența sau nu a unor casete de acceptare predefinite, precum și prezența unei casete de REJECT alături de cea de ACCEPT. Rezultatele indică faptul că:

  • 81% Dintre siteurile firmelor IT studiate nu sunt conforme cu criteriile GDPR de obținere a consimțământului afișând pe bara de Cookies mesaje din care reiese că navigarea pe pagina respectivă este condiționată de acceptarea de Cookies, singura opțiune a vizitatorilor fiind apăsarea butonului de OK sau acceptarea de Cookies. În această categorie intră și site-urile care oferă explicații legate de posibilitatea de dezactivare pentru Cookies opționale, dar accesul la aceste setări este condiționat de acceptarea generală. Cu alte cuvinte ești obligat să accepți, pentru a dezactiva Cookies-urile nedorite după aceea, ceea ce este în totală contradicție cu modul de obținere necondiționată și neimpusă a consimțământului.
  • 16% din siturile studiate oferă navigatorilor prin intermediul unei bare de opțiuni granulare, posibilitate setării categoriilor de Cookies acceptate. Problema este că la jumătate dintre aceste site-uri (8%), casetele de bifare vin cu opțiunea de acceptare predefinită, ceea ce este o altă încălcare a regulilor de obținere a unui consimțământ. Deci un utilizator care nu dorește Cookies de marketing sau pentru terți trebuie se dezactiveze casetele respective, în cazul în care observă acest lucru. Marea majoritate nu sunt atenți la aceste detalii.
  • Doar 9% dintre siteurile studiate afișează pe bara de Cookies opțiunea de RENUNȚARE la Cookies (butonul de opt-aut). GDPR spune clar că un consimțământ ar trebui să fie retras la fel de ușor cum a fost acordat și că orice buton de ACCEPT de pe o bară de Cookies trebuie să fie însoțit de un buton similar de REFUZ, care trebuie să asigure utilizatorul că încă de la deschiderea paginii dorite, nu rămân setate decât cookie-urile funcționale, care nu au nicio relevanță din perspectiva prelucrării datelor personale.

Din dorința de a vedea care dintre companiile IT din România  sunt mai bine pregătite pentru GDPR, am făcut o analiză a indicilor de conformitate pentru principalele categorii de companii IT cercetate: producători de echipamente hardware, producători software, integratori de sistem, furnizori de servicii Cloud și infrastructură, distribuitori, reselleri și magazine online.

Iată câteva considerații sugerate de rezultatele acestei analize:

  • Cele mai ridicate nivele de conformitate pentru politicile publice de pe Website le au furnizorii de echipamente hardware (sisteme de calcul, rețele și comunicații (medie de 53%), integratorii de sistem (medie 46%) și magazinele online (medie 43%).
  • La polul opus se găsesc companiile IT din categoriile reselleri (medie index conformitate 28%) și distribuitorii de echipamente și soluții software (medie 33%)
  • Medie de conformitate destul de mică (39%) a reieșit pentru furnizorii de soluții și aplicații software, care prin natura activității acționează de multe ori ca operatori de date asociați pentru datele personale ale clienților lor, cărora le asigură servicii de mentenanță și suport. Aceeași constatare care naște multe semne de întrebare pentru furnizorii de servicii de infrastructură și Cloud care prin media scăzută de doar 40% arată că nu sunt suficient de pregătiți pentru demonstrarea conformității prin politicile publicate pe site.

La o analiză generală de poziționare a companiilor de IT față de nivelul de conformitate evaluat pentru alte verticale industriale (vezi rezultatele ”ANALIZA GDPR READY: POLITICILE DE PE WEBSITE CA IMAGINE PUBLICĂ A CONFORMITĂȚII”, publicată în 29 mai 2019, reiese că media de 37% a companiilor de IT este mult mai mică decât a companiilor din retail, utilități, automotive și telecom, care par mult mai preocupate de imaginea publică a conformității GDPR (medie 57-58%).

GREȘELI FRECVENTE

Printre cele mai frecvente greșeli întâlnite la companiile de IT se numără:

  • Omiterea menționării drepturilor persoanei vizate, obligatorie în orice informare a acestora
  • Neactualizarea conținutului paginii cu Politica dă Confidențialitate – multe site-uri fac trimitere la Legea 677/ 2001 sau pe Site este afișat mesajul: ”Compania noastră este Operator de date personale înregistrat în Registrul național cu Nr…….”
  • Lipsa sau neactualizarea paginii de Termeni & Condiții în spiritul GDPR
  • Obligativitatea Acceptării utilizării de Cookies ca o condiționare a continuării navigării pe site
  • Prezența unui meniu granular de acceptare a diferitelor categorii de Cookies cu casete Pre-bifate
  • Lipsa posibilității de Opt-Out la acceptarea utilizării de Cookies: 91% dintre site-urile care au o politică de Cookies.
  • Bara de Cookies este plasată în așa fel încât maschează prezența celorlalte politici, de regulă la partea inferioară a site-ului.
  • Politicile publice, deși există, sunt greu de găsit

CONCLUZII

Lipsa preocupărilor legate de publicarea sau actualizarea Politicilor Publice de pe Website poate fi o constatare îngrijorătoare și o radiografie transparentă a modului în care organizațiile din România, în cazul de față un eșantion cât de reprezentativ pentru industria de IT,  sunt dispuse să învestească în alinierea la GDPR.

Așa cum spuneam și în concluziile Analizei publicate în luna mai, prezența acestor politici pe site reprezintă o carte de vizită, o declarație publică a preocupărilor unei companii pentru conformitate și asumarea responsabilității. Companiile din industria IT, fie că sunt producători, integratori, distribuitori, reselleri sau furnizori de servicii, acționează prin esența activității lor fie ca operatori, fie ca procesatori de date personale pentru întreaga gamă de categorii de date personale, de cele mai multe ori cu caracter special sau senzitive.

Faptul că 29% dintre companiile de IT nu au o politică de confidențialitate publicată pe site, iar 79% nu au notificări legate de prelucrarea datelor personale pe care le colectează prin intermediul formularelor online, nu poate fi decât îngrijorător cu privire la seriozitatea cu care e abordată conformitatea. Asta ridică mari semne de întrebare cu privire la nivelul general de pregătire la nivel de organizație.  Este greu de crezut că o organizație care nu e preocupată de imaginea sa publică se poate apropia de un nivel de conformitate acceptabil în privința proceselor, procedurilor și politicilor aplicate pe plan intern.

Prin esența activităților lor, companiile de IT trebuie să fie în linia întâi a bătăliei pentru asigurarea condițiilor tehnologice optime necesare pentru prelucrarea oricăror tipuri de date, din care datele personale nu reprezintă decât o parte. Faptul că o companie IT nu are o politică publică de confidențialitate și, de cele mai multe ori o politică de Securitate IT pentru proprii angajați, poate reduce foarte mult credibilitatea și garantarea soluțiilor și serviciilor oferite clienților. Directorilor  informatici, dar mai ales managerilor le revine responsabilitatea de a demonstra faptul că pot să aibă grijă de propriile lor date personale și de cele ale clienților și partenerilor.   

DESPRE ”STUDIU DE CONFORMITATE GDPR POLITICI WEBSITE COMPANII IT” – Un proiect de cercetare conceput și realizat de GDPR READY. Toate drepturile rezervate.  Cei interesați pot solicita Broșura cu același nume (8 pag) disponibilă în format electronic.

A COMPLIANCE ANALYSIS OF WEBSITE PRIVACY POLICIES

Transparency is one of the fundamental principles in the protection of personal data. Each of us has the right to understand how our personal data are processed, how are used or shared. By publishing GDPR policies on a website, a company can make clear evidence of transparency in the processing of personal data, assuming and proving responsibility and obtaining a trustworthy label for the entire business ecosystem it belongs to. A GDPR READY research made in this year spring analysed more than 450 Romanian websites looking at how companies are respecting this transparency by publishing Privacy Policy, Terms & Conditions, Cookies Policy and Privacy Notes.

1. COMPLIANCE ANALYSIS PREMISES

 1.1. PRIVACY POLICY

Any organization that maintains an online public image should publish a privacy policy or a personal data processing statement on the Website. A link to this privacy statement must be clearly visible on each page of this site, under a commonly used term (such as “Privacy”, “Privacy Policy” or “Data Protection Statement”).

Articles 13 and 14 of the GDPR explain all the information we have to give to the individual persons when we collect their personal information or shortly after we have come into their possession in an indirect way. In order to clarify this, the Article 29 Working Group (WP29) published in November 2017 a guide dedicated to transparency policies, reviewed on April 2018.

1.2. TERMS & CONDITIONS

Another aspect of transparency, this time not just for personal data, is the presence of the page that describes the Terms and Conditions for using the site for visitors. The Terms and Conditions Webpage should represent the agreement by which the users of the site are informed about the rules, terms and regulations they must follow. Although not imposed by GDPR, the Terms and Conditions page may retain the rights to exclude certain users who may create abusive issues on the site or not comply with the rules set.

Usually, there are five reasons why a Terms and Conditions page is required:

  • Abuse prevention – in the case of problems related to spamming, abusive behaviour, uncontrolled activities that can lead to defamation reactions. Without the Terms and Conditions, there is no authority to suspend or prohibit users from displaying problematic trends.
  • Content protection – any site owner holds the logo, content and design of the site. The Terms and Conditions inform users of this fact and prevent the diversion of intellectual property.
  • The right to cancel the accounts – while the termination may be implicit in other clauses, a distinct right highlighted in the Terms and Conditions for cancelling the accounts is better.
  • Limitation of liability – The terms and conditions also limit the causes of actions that users may try to use against the site. These limits on liability may address errors in content or shutdown of the system. Basically, the terms explain that users take these risks when they register on the site and you cannot be held responsible for any losses they incur in these events.

Applicable legal notice – If the company is located in Romania, it is doubtful that you want to participate in an arbitration procedure in California or Singapore. Here is the section on the applicable law: the competence of the terms is stated and the place where any dispute settlement takes place.

1.3. COOKIES POLICY

At present, there is no dedicated legislation in the European Union that exclusively concerns the Cookies policy. There is a set of laws, recommendations and considerations that address how cookies can be used. They apply to all Member States of the European Union, and websites outside the EU must align to this if they are addressed to people in the Member States. In the absence of explicit legislation, the conditions of use for cookies are regulated by the Directive no. 58/2002, updated in 2009 known as “ePrivacy”, which is transposed in Romania by Law 506 of 2004, updated by Law 235 of 2015, regarding the processing of personal data and the protection of privacy in the electronic communications sector.

Until the advent of GDPR, compliance with this law meant a statement placed at the bottom or top of the site, which allows the user to know what kind of cookies are used. Most of us are familiar with the famous expression: “By using this website, you accept our cookie policy” or something similar. This information is useful but to what extent does it offer us an alternative? GDPR aims to change this, giving users a real and informed choice.

What ePrivacy says about Cookies – Article 5 (3) of ePrivacy requires prior informed consent regarding the storage or access to information stored on the user’s terminal equipment. In other words, users should be asked if they agree with most cookies and similar technologies (for example, web beacons, Flash cookies, etc.), and their consent must be obtained before the site begins to use them.

Users should be informed about the use of cookies in plain, non-jargon language, on a dedicated “Cookie Policy” page, which can be reached from a popup or from the standard template toolbar. This page should explain:

  • Why cookies are used (to remind users actions, identify users, collect traffic information, etc.)
  • Whether cookies are essential for the operation of the website or for certain functionality or if it is aimed at improving the performance of the website
  • The types of cookies used (for example, session or permanent, first or a third party) that control/access the information regarding the cookies (site or a third party)
  • That these cookies will not be used other purposes than those indicated
  • How users can withdraw cookies consent.

What the GDPR says about Cookies – The main cause of the inconsistencies related to the Cookies Policy is that EU Regulation 679/ 2016 considers IP identifiers as personal data, which Directive 58 did not provide. This makes the site owners have to have a big headache in addition to ensuring compliance requirements for the acquisition and retention of IPs.

In GDPR, the only place where cookies are explicitly mentioned is Recital 30 which states: “Individuals may be associated with the online identifiers provided by their devices, applications, tools and protocols, such as IP addresses, cookie identifiers or others. Identifiers such as radio frequency identification tags. They can leave traces that, especially when combined with unique identifiers and other information received by servers, can be used to create profiles of individuals and to identify them.”

The idea is relatively simple: cookies can be used to uniquely identify a person, so they should be treated as personal data. It will affect those identifiers used for analysis, advertising, but also for those used for functional services such as chats and surveys.

What needs to be changed? – Users must be able to CHOOSE. Browsing a website does not mean that I agree with all the cookies. The type of phrase used at the moment is barely informative and, of course, does not offer a choice. Anyone who owns the site will not be able to force users to accept cookies in exchange for access to information.

Like any other consent under the GDPR, consent for cookies must be a clear AFFIRMATIVE action. An example is to click on a sign-in box or choose menu settings. Users must be careful not to have pre-checked boxes on the consent form!

Let’s not forget the OPT-OUT. The GDPR clearly states that any data subject should be able to withdraw consent as easily as he or she has given it. In the case of the new cookie policy, this requires any user to be able to revoke consent by the same type of action as when they gave their consent. For example, if a box is clicked to obtain consent, the same method must be offered for revoking the agreement by inserting a REJECT button.

1.4. PERSONAL DATA PROCESSING NOTES

Returning to the obligation to publish a Privacy Policy, any window, pop-up, form, and questionnaire or comment box on a public site must include a notification informing the user of how the data will be used, with reference to the confidentiality credential where all the explanations required by Art.13 and Art.14 have been given.

The GDPR sets higher standards for obtaining consent than previous legislation. Individuals need to understand clearly and unequivocally what they agree to – so notifications need to be simply articulated and specific – and the agreement must be given in the form of a clear affirmative action by the data subject. In practical terms, this means asking for a positive “opt-in” and also means that the use of pre-checked boxes should not be used.

The most common errors that appear on the sites are related to the lack of these notifications, preferring the usual formulas of authentication such as “Not a robot”, “1 + 2 = ...” or Captcha. The few sites that make a note about the processing of personal data collected on the site make a mistake by asking the user before pressing the subscribe button or sending the personal data the agreement for the privacy policy. Several examples of these usage errors will be presented in the chapter presenting the results of the Compliance Analysis.

2. METHODOLOGICAL ASPECTS

The compliance analysis of the GDPR policies on the Internet pages consisted of studying a sufficiently large number of sites to meet the optimal conditions for statistical analysis, on a sample as representative as possible.

The compliance study was based on two types of analysis:

– A predominantly qualitative general analysis on a number of 450 sites, which followed the way in which the websites that were the object of the research find the public policies of the organization (the owner, the policy of processing personal data (or Privacy Policy, Privacy Policy, etc.), page dedicated to the Terms and Conditions updated at the GDPR, a page dedicated to Cookies Policy, the presence of confidentiality notices associated with any form of personal data collection of the web visitor, the presence of the forms for addressing the requests for access to the data personal information, as well as the presence of the contact information of the PDO.

– A detailed, quantitative-qualitative analysis of the presence and quality of the content of public policies, taking into account the minimum mandatory information that must appear in these declarations of conformity.

2.1. QUALITATIVE ANALYSIS

The research sample consists of about 450 sites, chosen on different criteria such as:

  • ACUITY – a sufficient number of sites are needed to ensure good quality statistical processing;
  • REPRESENTATIVENESS – the sites belong to public and private companies from different areas of activity, so that the results can be considered as covering for all verticals;
  • LEADERSHIP – for each of the activity areas considered, the companies that were noted for the results obtained were selected. The 100 companies from the Top Profitability analyzed in the Detailed Study are also included in this analysis;
  • RESPONSIBILITY – were followed sites from all areas that may involve an increased level of responsibility by appointing a DPO or the obligation to carry out an impact analysis – according to the list of activities presented in Decision 174 October 2018, Art. 1, Alin a – g.

The qualitative analysis was based on the evaluation of the content published on the sites of the studied sample, based on analysis criteria, to which different weights were assigned, depending on the importance of the aspect pursued.

2.2. IN-DEPTH ANALYSIS

The research sample consists of about 150 sites, chosen on the criteria of belonging to the Top 100 companies in Romania after Profitability for 2017, realized and published by Capital magazine, based on the results declared at the Trade Register ( Capital magazine, EXCLUSIVE TOP 100 the most profitable companies in Romania, July 2018). Another 50 sites were selected based on business results criteria, according to the results presented at the Trade Register.

The purpose, easy to guess, of the GDPR Ready Analysis, is to see to what extent the top companies in Romania have found the resources necessary to ensure the alignment of the new Regulation 679/2016, and the web pages containing the public policies of the organization represent the most eloquent business card for the state of compliance where a top company is located.

The detailed analysis was based on the evaluation of the content published on the websites of the studied sample, based on analysis criteria, to which different weights were assigned, depending on the importance of the aspect pursued. Part of these criteria, regarding the presence on the site of the different policies and the form of presentation, content, accessibility and format of the cookie bar are the same as those used in the qualitative analysis. The differences appear in the specific analysis for each of the policies (Confidentiality, Terms & Conditions, Cookies), wherein the used benchmark has been considered all the mandatory criteria by which the data subjects are informed of the way their personal data are processed, as it is clearly shown in Articles 13 and 14 of the GDPR.

3. MAIN RESEARCH RESULTS

Here is a brief rendering of the results obtained from the two types of analysis

3.1. QUALITATIVE ANALYSIS RESULTS

One of the objectives of this analysis, which studied 450 sites, was the general evaluation of the presence of public policies on the website. The six types of policies studied were analysed from the perspective of the presence on the websites, the criteria of appreciation being the presence, the absence and the presence partially or incomplete – for example, the specific notifications of a policy are described on pages other than those dedicated. What is to be emphasized here?

  • Only 63% of sites have a Privacy Policy
  • 31% do not have such a policy, so they do not comply with the principle of transparency regarding the protection of personal data
  • Only 40% of sites have a Terms & Conditions page, although it should be found on any public site and not directly related to GDPR.
  • Only 60% of the studied sites have a displayed cookie policy, of which 14% are incomplete
  • 79% of the sites do not have a confidentiality note although they collect personal data from the site
  • Only 8% of the sites offer the possibility of downloading forms for access requests to personal data.
  • Only 55% of sites offer a mailing address for GDPR issues, whether they have a dedicated DPO or not.
Source: GDPR READY RESEARCH, Sample: 450 Websites

Figure 1: PRESENCE OF THE WEBSITE POLICY

The analysis of the industrial verticals gives us an overview of the areas of activity in which there are concerns related to updating the public policies on the website. For the histogram of the analysis for the main industries verticals, an average of the percentage of compliance for all the sites belonging to the respective industry were chosen.

Some comments on the results:

  • The highest level of compliance can be found in the utilities, telco, retail – hypermarket, pharmaceutical & cosmetics, and the automotive industries.
  • On the opposite side, and this is quite sad, there are areas that by the nature of their activity are obliged to have a DPO: public administration (town halls), education (schools, colleges, universities), healthcare (hospitals, clinics) and government (ministries and supervised organizations)
  • A surprisingly low compliance average of 36% was found for companies in the IT industry, which had a fairly large research population (121 sites).
Source: GDPR READY RESEARCH, Sample: 450 Websites

Figure 2: TOP VERTICAL AVERAGE VALUES FOR INDUSTRY

3.2. IN-DEPTH ANALYSIS RESULTS

A general appreciation for the 150 sites studied in detail refers to the presence of policies cumulated with criteria of visibility, accessibility and content of policies. Compliance level is rated as a percentage and classified as Low (below 25%), Medium (25% – 75%) and Good (over 75%)

While 4% of the organizations analysed do not have a functional website, 13% have no policies, 14% have poor compliance, 53% average and only 17% have a satisfactory level of compliance.

Source: GDPR READY RESEARCH, Sample: 150 Websites

Figure 3: GENERAL APPRECIATION

Another objective of the detailed analysis was the policy evaluation of the compliance criteria presented in the methodology chapter:

From the perspective of Confidentiality, only 21% of the 150 sites have a satisfactory level of compliance, while 51% have an average level, 13% are insufficient, and 15% do not have a Privacy Policy.

Source: GDPR READY RESEARCH, Sample: 150 Websites

Figure 4: PRIVACY POLICY CONFORMITY

Regarding the pages dedicated to the Terms and Conditions, only 14% have a satisfactory level of compliance, 42% a medium level, 25% poor compliance, and 19% have no place Terms and Conditions.

When analysing the Cookies Policy, it appears that only 3% of the sites have an acceptable level of compliance, 33% an average one, 44% an unsatisfactory one, and 23% of the sites do not have cookies.

Finally, the 114 sites that have cookies, were analysed from the perspective of compliance with the GDPR rules for obtaining consent, the way of displaying and the content of the cookie bars, the presence or not of predefined acceptance boxes, as well as the presence of a box of REJECT next to the one of ACCEPT. The results are summarized in Figure 5.

Source: GDPR READY RESEARCH, Sample: 114 Websites

Figure 5: COOKIES BAR CONFORMITY

4. MOST FREQUENT MISTAKES

Among the most common mistakes encountered during this Compliance Review are:

  • The omission of the description of rights, mandatory in any information of the data subjects
  • Not updated content of Privacy Policy – There are many sites where the respective policy refers to Law 677/2001 or the message is displayed: “Our company is a Personal Data Operator registered in the National Register with No. ……”
  • Missing / Not updating Terms & Conditions page
  • Cookies bar is missing although a cookie policy is present on the site
  • The obligation to accept the use of cookies as a condition of continuation on the site
  • The presence of a granular menu for accepting the different categories of cookies with Prefixed boxes
  • Lack of the possibility of Opt-out accepting the use of cookies: 92% of the sites that have a cookie policy.
  • The cookie bar is placed in such a way that it hides the presence of the other policies, usually at the bottom of the site.

5. CONCLUSIONS

The lack of concerns regarding the publication or updating of the Public Policies on the Website can be a worrying finding and a transparent x-ray of how Romanian organizations are willing to invest in aligning with the GDPR.

The presence of these site policies represents a business card, a public statement of the company’s concerns for compliance and accountability.

The public policies on the website represent only the visible part of what can be called a GDPR compliance project. It is hard to believe that an organization that is not concerned with its public image can approach an acceptable level of compliance with internally applied processes, procedures and policies.

ANALIZA GDPR READY: POLITICILE DE PE WEBSITE CA IMAGINE PUBLICĂ A CONFORMITĂȚII

Transparența este unul dintre principiile fundamentale în protecția datelor personale. Fiecare dintre noi are dreptul să înțeleagă cum sunt prelucrate datele noastre personale, cum sunt folosite sau partajate. În acest fel, putem să luăm decizii mult mai informate despre ce putem face cu datele noastre. Prin publicarea politicilor publice pe un website, o companie poate face dovada clară a transparenței în prelucrarea datelor personale, asumându-și și dovedind responsabilitatea și obținând o etichetă de încredere pentru tot ecosistemul de business de care aparține.  

PREMISELE ANALIZEI DE CONFORMITATE

Politica de confidențialitate – În secţiunea 1: Transparenţă şi modalităţi, din GDPR,  Art. 12: Transparenţa informaţiilor, a comunicărilor şi a modalităţilor de exercitare a drepturilor persoanei vizate indică foare clar că ”Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informaţii menţionate la articolele 13 şi 14 şi orice comunicări în temeiul articolelor 15-22 şi 34 referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă şi uşor accesibilă,utilizând un limbaj clar şi simplu, în special pentru orice informaţii adresate în mod specific unui copil.”

Orice organizație care păstrează un site Web ar trebui să publice o declarație de confidențialitate / o notificare pe site-ul web. Un link către această declarație / notă de confidențialitate trebuie să fie vizibil în mod clar pe fiecare pagină a acestui site, sub un termen folosit în mod obișnuit (cum ar fi “Confidențialitate”, “Politica de confidențialitate” sau “Notificare privind protecția datelor”).

În Preambulul 60 sunt descrise tipurile de informații care trebuie communicate persoanei vizate, și care sunt reluate apoi pe larg în Art.13 și Art.14. ”Conform principiilor prelucrării echitabile şi transparente, persoana vizată este informată cu privire la existenţa unei operaţiuni de prelucrare şi la scopurile acesteia. Operatorul ar trebui să furnizeze persoanei vizate orice informaţii suplimentare necesare pentru a asigura o prelucrare echitabilă şi transparentă, ţinând seama de circumstanţele specifice şi de contextual în care sunt prelucrate datele cu caracter personal. În plus, persoana vizată ar trebui informată cu privire la crearea de profiluri, precum şi la consecinţele acesteia. Atunci când datele cu caracter personal sunt colectate de la persoana vizată, aceasta ar trebui informată, de asemenea, dacă are obligaţia de a furniza datele cu caracter personal şi care sunt consecinţele în cazul unui refuz.”

Articolele 13 și 14 din GDPR ne explică toate informațiile pe care trebuie să le dăm persoanelor individuale în momentul în care le colectăm informațiile personale sau la scurtă vreme după ce am intrat în posesia acestora într-o manieră indirectă. Pentru a face lumină în aceste lucruri, Grupul de Lucru Articolul 29 (WP29) a publicat în noiembrie 2017 un ghid dedicat politicilor de asigurare a transparenței pe care l-a revizuit în aprilie 2018.

Termenii & Condițiile  O altă latură a transparenței, de data asta nu doar pentru datele personale, este prezența paginii care descrie Termenii și Condițiile de utilizare a site-ului pentru vizitatori. Termenii și Condițiile reprezintă acordul prin care utilizatorii site-ului sunt informați despre regulile, termenii și regulamentele pe care trebuie să le urmeze pentru a utiliza și accesa un website. Deși nu este impusă de legi în present, prin pagina de Termeni și Condiții pot fi menținute drepturile de a exclude anumiți utilizatori care ar putea să creeze probleme abusive pe site sau să nu respecte regulile stabilite.

Există cinci motive pentru care este necesară o pagină cu Termeni și Condiții:

  • Prevenirea abuzurilor – în cazul problemelor legate de spamuri, comportamente abusive, activități necontolate care pot atrage reacții de defăimare. Fără Termeni și Condiții, nu există autoritatea de a suspenda sau de a interzice utilizatorii care afișează tendințe problematice.
  • Protejarea conținutului – orice proprietar de site deține logo-ul, conținutul și designul site-ului. Termenii și Condițiile informează utilizatorii despre acest fapt și împiedică deturnarea de proprietate intelectuală.
  • Dreptul de anulare a conturilor – în timp ce rezilierea poate fi implicită în alte clauze, un drept distinct evidențiat în Termeni și condiți de a anula conturile este mai bun.
  • Limitarea răspunderii – Termenii și condițiile limitează, de asemenea, cauzele acțiunilor pe care utilizatorii pot încerca să le utilizeze împotriva site-ului. Aceste limite privind răspunderea pot să abordeze erori în ceea ce privește conținutul sau oprirea sistemului. Practic, termenii explică faptul că utilizatorii își asumă aceste riscuri atunci când se înscriu pe site și nu puteți fi trași la răspundere pentru eventualele pierderi pe care le suportă în aceste evenimente.
  • Aviz de lege aplicabil – Dacă compania este situată în Romania, este îndoielnic că doriți să participați la o procedură de arbitraj în California sau Singapore. Aici intră secțiunea privind legea aplicabilă: se declară competența termenilor și se indică unde are loc orice soluționare a litigiilor.

Politica de Cookies – În prezent nu există în Uniunea Europeană o legislație dedicată care să vizeze în exclusivitate politica de cookies. Există un set de legi, recomandări și considerații care vizează modul în care pot fi utilizate cookies. Ele se aplică tuturor statelor membre ale Uniunii Europene, iar site-urile Web din afara UE trebuie să se alinieze la aceasta dacă se adresează persoanelor din statele membre. În lipsa unei legislații explicite, condițiile de utilizare pentru cookies sunt reglementate de Directiva nr. 58/ 2002, actualizată în 2009 cunoscută ca ”ePrivacy”, care este transpusă în țara noastră prin Legea 506 din 2004, actualizată prin Legea 235 din 2015, privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice.

Până la apariția GDPR  conformitatea cu această lege însemna o declarație plasată în partea de jos sau în partea de sus a site-ului, care permite utilizatorului să știe ce fel de module cookie sunt utilizate. Cei mai mulți dintre noi suntem familiarizați cu faimoasa expresie: “Prin utilizarea acestui site web, acceptați politica noastră de cookie-uri” sau ceva similar. Această informare este utilă dar în ce măsură ne oferă o alternativă? GDPR își propune să schimbe acest lucru, oferind utilizatorilor o posibilitate de alegere reală și informată.

Ce spune ePrivacy despre Cookies – Art. 5 (3) din ePrivacy impune consimțământul în prealabil în cunoștință de cauză privind stocarea sau accesul la informațiile stocate pe echipamentul terminal al utilizatorului. Cu alte cuvinte, utilizatorii trebuie întrebați dacă sunt de acord cu cele mai multe cookie-uri și tehnologii similare (de exemplu, beaconuri web, cookie-uri Flash etc.), iar acordul acestora trebuie obținut înainte ca site-ul să înceapă să le utilizeze.

Utilizatorii trebuie Informați despre utilizarea cookie-urilor în limbaj simplu, lipsit de jargon, într-o pagină dedicată “Politica de cookies”, la care se ajunge de la un popup sau de la bara de instrumente a șabloanelor standard. Această pagină ar trebui să explice:

  • de ce se utilizează cookie-urile (pentru a reaminti acțiunile utilizatorilor, a identifica utilizatorii, a colecta informații despre trafic etc.)
  • dacă cookie-urile sunt esențiale pentru funcționarea site-ului web sau pentru o anumită funcționalitate sau dacă vizează îmbunătățirea performanței site-ului web
  • tipurile de cookie-uri utilizate (de exemplu, sesiune sau permanent, prima sau terță parte) care controlează / accesează informațiile referitoare la modulele cookie (site sau terță parte)
  • că aceste cookies nu vor fi utilizat în alte scopuri decât cele indicate
  • modul în care utilizatorii pot retrage consimțământul.

Ce spune GDPR despre Cookies – Principala cauză a neconcordanțelor legate de Politica de Cookies este faptul că Regulamentul 679 consideră idetificatorii IP ca date personale, ceea ce Directiva 58 nu prevedea. Asta face ca proprietarii de site-uri să fie nevoiți să aibă o mare bătaie de cap în plus, legată de asigurarea cerințelor de conformitate pentru achiziția și retenția de IP-uri.

În GDPR, singurul loc unde sunt menționate în mod explicit cookie-urile este Considerentul 30 care prevede: ”Persoanele fizice pot fi asociate cu identificatorii online furnizaţi de dispozitivele, aplicaţiile, instrumentele şi protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alţi identificatori precum etichetele de identificare prin frecvenţe radio. Aceştia pot lăsa urme care, în special atunci când sunt combinate cu identificatori unici şi alte informaţii primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice şi pentru identificarea lor.”

Ideea este relativ simplă: cookie-urile pot fi folosite pentru a identifica în mod unic o persoană, prin urmare ar trebui tratate ca date personale. Acesta va afecta acei identificatori utilizați pentru analiză, publicitate, dar și pentru acelea utilizate pentru servicii funcționale cum ar fi chat-urile și sondajele.

Ce trebuie să se schimbe?  Utilizatorii trebuie să aibă posibilitatea de A ALEGE. Faptul că navighează pe un site Web nu înseamnă că sunt de acord cu toate cookie-urile. Tipul de frază folosit în acest moment este abia suficient de informativ și, desigur, nu oferă o alegere. Oricine ar fi proprietar al site-ului nu va putea să-i constrângă pe utilizatori să accepte cookie-uri în schimbul accesului la informații.

Ca orice alt consimțământ în cadrul GDPR, consimțământul pentru cookie-uri trebuie să fie o acțiune AFIRMATIVĂ CLARĂ. Un exemplu este să faceți clic pe o casetă de înscriere sau să alegeți setările din meniu. Utilizatorii trebuie să fie atenți să nu aibă casete pre-bifate pe formularul de consimțământ!

Să NU UITĂM DE OPT-OUT. GDPR afirmă în mod clar că orice subiect de date ar trebui să poată retrage consimțământul la fel de ușor cum l-a dat. In cazul noii politici de cookie acest lucru impune ca orice utilizator sa poată revoca consimțământul prin același tip de acțiune ca atunci când și-au dat consimțământul. De exemplu, dacă pentru obținerea consimțământului se dă un click pe o casetă, aceeași modalitate trebuie oferită pentru revocarea acordului prin inserarea unui buton de REJECT.

Notele de confidențialitate – Revenind la obligativitatea publicării unei Politici de confidențialitate, orice fereastră, pop-up, formular, chestionar sau caseta de comentarii de pe un site public trebuie să includă o notificare prin care utilizatorul este informat despre modul în care vor fi folosite datele sale personale pe care le furnizează în acel mod, cu trimitere la credențialul de confidențialitate unde se dat toate explicațiile impuse de Art.13 și Art.14.

GDPR stabilește standarde mai ridicate pentru obținerea consimțământului decât legislația anterioară. Persoanele fizice trebuie să înțeleagă în mod clar și fără echivoc ceea ce sunt de acord – astfel încât notificările trebuie să fie pur și simplu articulate și specifice – iar acordul trebuie să fie dat sub forma unei acțiuni clare afirmative din partea persoanei vizate. În termeni practici, aceasta înseamnă a cere un “opt-in” pozitiv și, de asemenea, înseamnă că utilizarea cutiilor pre-bifate nu ar trebui să fie utilizată.

Cele mai frecvente greșeli care apar pe site-uri sunt legate de lipsa acestor notificări, preferându-se banalele formule de autentificare de tipul ”Nu sunt robot” , ”1+2=…” sau Captcha. Puținele siteuri care pun o notiță legată de prelucrarea datelor personale captate pe site mai fac o greșeală solicitând utilizatorului înainte de a apăsa butonul se subsciere sau de trimitere a datelor pesonale acordul pentru politica de confidențialitate. Mai multe exemplificări legate de aceste erori de utilizare vor fi prezentat în capitolul de prezentare a rezultatelor Analizei de Conformitate. 

ASPECTE METODOLOGICE

Analiza de conformitate GDPR a politicilor publice de pe paginile de Internet, a constat în studierea unui număr sufiecient de mare de site-uri, încât să fi îndeplinite condițiile optime de analiză statistică, pe un eșantion cât mai reprezentativ.

Studiul de conformitate s-a bazat pe două tipuri de analiză:

  • O analiză generală preponderent calitativă pe un număr de 450 de site-uri, care a urmărit modul în care pe site-urile care au constituit obiectul cercetării se regăsesc politicile publice ale organiației (deținătorului, : politica de prelucrare a datelor personale (sau Privacy Policy, Politică confidențialitate, etc), pagină dedicată Termenilor și Condițiilor actualizată la GDPR, o pagină dedicată Politicii de Cookies, prezența notificărilor de confidențialitate asociate oricărei formă de colectare a datelor personale ale vizitatorului web, prezența formularelor de adresare a solicitărilor de acces la datele personale, precum și prezența informațiilor de contact ale DPO.
  • O analiză de detaliu, cantitativ- calitativă a prezenței și calității conținutului politicilor publice , cu considerarea informațiilor minime obligatorii care trebuie să apară în aceste declarații de conformitate.

ANALIZĂ CALITATIVĂ – Eșantionul de cercetare este format din cca 450 de site-uri, alese pe diferite criterii precum:

– ACUITATE – este nevoie de un număr suficient de mare de site-uri pentru asigurarea unor prelucrări statistice de bună calitate;

– REPREZENTATIVITATE – site-urile aparțin unor companii publice și private din diferite zone de activitate, astfel încât rezultatele să poată fi considerate acoperitoare pentru toate verticalele;

– LEADERSHIP – pentru fiecare dintre domeniile de activitate avute în vedere au fost selectate companiile care s-au remarcat prin rezultatele obținute. Cele 100 de companii din Top Profitabilitate analizate în Studiul de detaliu sunt incluse și în această analiză contitativă;

– RESPONSABILITATE – s-au urmărit site-uri din toate domeniile care pot implica un nivel crescut de responsabilitate prin numirea unui DPO sau obligativitatea efectuării unei analize de impact – conform listei de activități prezentă în Decizia 174 octombrie 2018, Art. 1, Alin a – g.

Analiza calitativă s-a bazat pe evaluarea conținutului publicat pe site-urile din eșantionul studiat, pe baza unor criterii de analiză, cărora li s-a atribuit ponderi diferite, în funcție de importanța aspectului urmărit.

O descriere a criteriilor utilizate la această analiză se poate citi în Broșura Analiza Conformitate Politici Publice Website – 8 pag. disponibilă în format electronic.

ANALIZĂ DE DETALIU  – Eșantionul de cercetare este format din cca 150 de site-uri, alese pe criteriul apartenenței la Topul primelor 100 de companii din România după Profitabilitate pe anul 2017, realizat și publicat de revista Capital, pe baza rezultatelor declarate la Registrul Comerțului (Capital, EXCLUSIV TOP 100 cele mai profitabile companii din România, Iulie 2018). Încă 50 de site-uri au fost selectate pe criterii de rezultate în business, în funcție de rezultatele prezentatele la Registrul Comerțului.  

Scopul, ușor de ghicit, al Analizei GDPR Ready este acela de a vedea în ce măsură companiile de top din România au găsit resursele necesare pentru asigurarea alinierii a noul Regulament 679/ 2016, iar paginile de web care  conțin politicile publice ale organizației reprezintă cea mai elocventă carte de vizită pentru stadiul de conformitate în care se găsește o companie de top.

Analiza de detaliu s-a bazat pe evaluarea conținutului publicat pe site-urile din eșantionul studiat, pe baza unor criterii de analiză, cărora li s-au atribuit ponderi diferite, în funcție de importanța aspectului urmărit. O parte dintre aceste criterii, referitoare la prezența pe site a diferitelor politici și la forma de prezentare, conținut, accesibilitate și formatul barei de cookies sunt aceleași ca cele folosite în analiza calitativă. Diferențele apar la analiza specifică pentru fiecare dintre politici (Confidențialitate, Termeni & Condiții, Cookies), unde în benchmarckul utilizat s-au avut în vedere toate criteriile obligatorii prin care persoanele vizate sunt înștiințate de modul în care sunt procesate datele lor personale, așa cum se arată clar în Art.13 și 14 din GDPR.

O descriere a criteriilor utilizate la această analiză se poate citi în Broșura Analiza Conformitate Politici Publice Website – 8 pag. disponibilă în format electronic.

REZULTATE

Iată o redare succintă a rezultatelor obținute în urma celor două tipuri de analiză

ANALIZA CALITATIVĂ

Unul dintre obiectivele vizate de aveastă analiză care a studiat 450 de site-uri a fost evaluarea generală a prezenței politicilor publice pe website. Cele șase tipuri de politici studiate au fost analizate din perspectiva prezenței pe site-urile web, criteriile de apreciere fiind prezența, absența și prezența parțială sau incompletă – de exemplu, notificările specifice unei politici sunt descrise în alte pagini decât cele dedicate. Ce este de subliniat aici?

  • Doar 63% dintre site-uri au o Politică de Confidențialitate
  • 31% nu au o astfel de politică, deci nu se aliniază principiului de transparență privitor la protecția datelor personale
  • Doar 40% dintre siteuri au o pagină de Termeni & Condiții, deși aceasta ar trebui să se regăsească pe orice site public și nu are legătură directă cu GDPR.
  • Doar 60% dintre siteurile studite au o politică de cookies afișată, dintre care 14% incompletă
  • 79% dintre site-uri nu au o notă de confidențialitate deși colectează date personale depe site
  • Doar 8% dintre site-uri oferă posibilitatea descărcării unor formulare pentru solicitările de acces la datele personale.
  • Doar 55% dintre site-uri oferă o adresă de corespondență pentru probleme GDPR, fie că au un DPO dedicat sau nu.    
Figura 1: PREZENȚA POLITICII PE WEBSITE

Analiza pe verticale industriale ne oferă o imagine de ansamblu asupra domeniilor de activitate în care există preocupări legate de actualizarea politicilor publice de pe website. Pentru histograma analizei pe v erticale s-au ales principalele industrii de care aparțin cele 450 de site-uri studiate și o medie a procentajului de conformitate pentru toate site-urile care țin de industria respectivă.

Câteva comentarii ale rezultatelor:

  • Nivelul mediu de conformitate cel mai ridicat poate fi regăsit în industriile de utilități, telco, retail – hypermarket, farmaceutice și cosmetice și industria auto.
  • La polul opus, și asta e destul de trist, se regăsesc domenii care prin natura activității lor sunt obligate să aibă un DPO: administrația publică (primării), educație (școli, colegii, universități), sănătate (spitale, clinici) și guvernare (ministere și organizații tutelate)
  • medie de conformitate surprinzător de mică 36% a reieșit pentru companiile din industria IT, care au avut o populație destul de mare (121 site-uri).
Figura 2: TOP VERTICALE VALORI MEDII PE INDUSTRIE

ANALIZA DE DETALIU

O apreciere generală pentru cele 150 de site-ui studiate în detaliu se referă la prezența politicilor cumulată cu criterii de vizibilitate, accesibilitate și conținut al politicilor. Nivelul de conformitate este apreciat procentual și clasificat ca nivele de conformitate Slab (sub 25%), Mediu (25% – 75%) și Bun (peste 75%)

In timp ce 4% dintre organizațiile analizate nu au un website funcțional , 13% nu au deloc politici, 14% au conformitate slabă, 53% medie și doar 17% au un nivel satisfăcător de conformitate. 

Figura 3: APRECIERE GENERALĂ

Un alt obiectiv al analizei de detaliu a fost evaluarea pe politici a criteriilor de conformitate prezentate la capitolul de metodologie:

Din perspectiva Confidențialității, doar 21% dintre cele 150 site-uri au un nivel mulțumitor de conformitate, în timp ce 51% au un nivel mediu, 13% insufic ient, iar 15% nu au de loc o Politică de Confidențialitate.

Privitor la paginile dedicate Termenilor și Condițiilor, doar 14% au un nivel de conformitate mulțumitor, 42% unul mediu, 25% o conformitate slabă, iar 19% nu au de loc Termeni și Condiții.

La analiza Politicilor de Cookies, reiese că doar 3% dintre site-uri au un nivel de conformitate acceptabil, 33% unul mediu, 44% unul nemulțumitor, iar 23% dintre site-uri nu au cookies.

Figura 4: STADIU CONFORMITATE POLITICI

În fine, cele 114 site-uri care au cookies, au fost analizate din perspectiva conformității cu regulile GDPR de obținere a consimțământului, modul de afișare și conținutul barelor de cookies, prezența sau nu a unor casete de acceptare predefinite, precum și prezența unei casete de REJECT alături de cea de ACCEPT. Rezultatele sunt sintetizate în Figura 5.

Figura 5: BARA COOKIES

GREȘELI  FRECVENTE

Printre cele mai frecvente greșeli întâlnite pe parcursul acestei Analize de conformitate se numără:

  • Omitere descriere drepturi, obligatorie în orice informare a persoanelor vizate
  • Neactualizare conținut Politică Confidențialitate  – Sunt multe site-uri unde politica respectivă face trimitere la Legea 677/ 2001 sau pe Site este afișat mesajul: ”Compania noastră este Operator de date personale înregistrat în Registrul național cu Nr…….”
  • Lipsă/ Neactualizare Termeni & Condiții
  • Lipsă barei de Cookies deși pe site este prezentă o Politică de cookies
  • Obligativitatea Acceptării utilizării de cookies ca o condiționare a continuării pe site
  • Prezența unui meniu granular de acceptare a diferitelor categorii de cookies cu casete Prebifate
  • Lipsa posibilității de  Opt-aut la acceptarea utilizării de cookies: 92% dintre site-urile care au o politică de cookies.
  • Bara de cookies este plasată în așa fel încât maschează prezența celorlalte politici, de regulă la partea inferioară a site-ului.

CONCLUZII

Lipsa preocupărilor legate de publicarea sau actualizarea Politicilor Publice de pe Website poate fi o constatare îngrijorătoare și o radiografie transparentă a modului în care organizațiile din România sunt dispuse să învestească în alinierea la GDPR.

Prezența acestor politici pe site reprezintă o carte de vizită, o declarație publică a preocupărilor companiei pentru conformitate și asumarea responsabilității.

Politicile publice de pe website nu reprezintă decât partea care se vede din ceea ce poate fi numit un proiect de asigurare a conformității GDPR. Este greu de crezut că o organizație care nu e preocupată de imaginea sa publică se poate apropia de un nivel de conformitate acceptabil în privința proceselor, procedurilor și politicilor applicate pe plan intern.

DESPRE ANALIZA DE CONFORMITATE A POLITICILOR PUBLICE DE PE WEBSITE

Un proiect de cercetare conceput și realizat de GDPR READY. Toate drepturile rezervate.

Cei interesați pot solicita Broșura Analiza Conformitate Politici Pubice Website – 8 pag. disponibilă în format electronic.

Cei interesați de servicii de Audit Politici Website sunt rugați să completeze formularul de Contact: Pachetul de servicii include:

  • Audit politici existente
  • Recomandări conținut & formă Politici
  • Analiza în raport cu alte site-uri din același domeniu de business
  • Analiza concurențială pe verticale industriale
  • Integrarea Politicilor Publice în Cultura GDPR a organizației
  • eBook Analiza Conformitate Politici Pubice Website – 20 pag.

 

SOLICITARE BROȘURĂ ANALIZA CONFORMITATE SI/ SAU SERVICII AUDIT POLITICI PUBLICE WEBSITE

Cei interesați de Broșura Analiza Conformitate Politici Publice Website sunt rugați să completeze rubrica dedicată din formularul de mai jos. Veți primi Broșura prin e-mail

Cei interesați de oferta de Servicii de Audit Conformitate Politici Website sunt rugați să completeze rubrica dedicată din formularul de mai jos. Veți fi contactați prin e-mail

Nota Confidentialitate: Completand acest formular va dati acordul pentru a fi contactati in scopurile menționate. Datele Dvs. personale incluse in acest formular vor fi prelucrate doar in scopul comunicării pentru care au fost solicitate. Citiți Politica de Confidentialitate.

CELE MAI IMPORTANTE GREȘELI CARE SE FAC ÎN PROIECTELE GDPR

A fost o săptămână bogată în evenimente, întâlniri și multe dialoguri, prilejuite de aniversarea unui an de la ”celebrul 25 mai”. Un lucru de toată lauda, ținând cont de acalmia care încearcă să ne descurajeze, în special de prin ianuarie încoace…Iată dar o foarte bună ocazie pentru o recapitulare, la rece, a celor mai frecvente greșeli discutate la evenimentul GDPR Talks din 21 mai sau observate prin proiecte.

Desigur, vorbele din bătrâni ”a greși, e omenește” și  ”numai cine muncește, greșește” sunt perfect adevărate și în cazul nostru, iar o greșeală sesizată nu trebuie arătată cu degetul, căci nimeni nu are de câștigat. Observăm și arătăm cu luciditate greșelile doar cu bunul scop de a le explica și de a oferi soluții pentru demonstrarea responsabilității. Chiar dacă Autoritatea din România nu a apăsat încă pe claxonul amenzilor, emițând doar avertismente și măsuri corective, trebuie să depășim sindromul drobului de sare și să învățăm din greșeli devenind proactivi. Numai așa putem să respectăm cel de-al șaptelea principiu GDPR (așa cum consideră unii) și să devenim responsabili de responsabilitatea noastră.

Iată deci, fără a respecta o anumită ordine, câteva dintre cele mai importante greșeli din care trebuie să învățăm:

Lipsa unui plan de proiect – decizia de ”a face ceva pentru GDPR” s-a făcut de cele mai multe ori sub presiune, pasând responsabilitatea cuiva de la IT sau de la juridic, care s-au apucat de ce credeau că e mai urgent.. Desigur, orice poate conduce o echipă de acțiune, dar fără un proiect de implementare etapizat e greu să vezi capătul drumului și să eficientizezi demersurile de aliniere.

Nu s-a făcut nimic până la numirea unui DPO – asta a întârziat destul de multe ori lucrurile, pierzându-se timp prețios pentru demararea unor măsuri organizatorice, care putea fi luate și în absența unui DPO, acolo unde numirea acestuia e obligatorie.

Dificultăți legate de angajarea unui DPO – multă vreme, cei care aveau nevoie să angajeze un DPO, s-u confruntat cu probleme legate de lipsa unei fișe a postului oficială sau imposibilitatea înregistrării în aplicația Revisal a codului COR 242231 alocat pentru funcția de Responsabil cu protecția datelor cu caracter personal. Deși mulți m-au asigurat că această problemă a fost rezolvată, nu am găsit încă nici o sursă publică oficială de confirmare a acestui lucru.

Înțelegerea incorectă a noțiunii de date personale – definițiile din Art.4, preambulurile și ghidurile WP29 nu au rezolvat problema identificării corecte a datelor personale. Sunt multe site-uri care la Politica de Cookies declară că acestea nu folosesc datele personale. În mod sigur administratorii acestora nu au aflat că IP-ul este luat în considerare ca și data personal, s-au pur și simplu nu și-au bătut capul să își actualizeze politicile…

Dificultatea stabilirii rolului de Operator sau Procesator (Împuternicit…) – simpla analiză a faptului că o organizație determină scopul și mijloacele nu este suficientă pentru asumarea unui rol de Operator. Se fac încă multe confuzii între poziția de Procesator și cea de Operator Asociat sau Operator Independent (B2B). Se omite ideea, că aceeași organizație poate juca roluri diferite în prelucrarea datelor personale, în funcție de procesul de business care este analizat. Dar, așa cum aprecia și Cătălin Giulescu în discuțiile din cadrul evenimentului GDPR Talks: ”nu trebuie să ne cramponăm de asta. Dacă un împuternicit își asumă rol de operator, lăsați-l să și-l asume. În fond, un operator are mult mai multe obligații…”

Excesul de Consimțământ – se pune mult prea mult accentul pe obținerea acordului, în detrimentul celorlalte 5 temeiuri legale care pot justifica prelucrarea datelor personale. Poți evita nevoia obținerii consimțământului prin introducerea unei prevederi suplimentare într-un contract. Mai mult de atât, nu se ține cont de cerința ca un consimțământ să poată fi întotdeauna probat, dovedit, în ideea că el poate fi retras cu aceeași ușurință cu care a fost obținut.

Lipsa de transparență online – Multe dintre organizațiile care au un site web nu dau dovadă de transparență prin nepublicarea unei Politici de confidențialitate sau Notificări de prelucrare a datelor personale. Prezența unei pagini cu politica de Confidențialitate a organizației este o declarație publică de conformitate și o etichetă e încredere pentru modul în car se prelucrează datele cu caracter personal.

Neactualizarea conținutului  – Există îngrijorător de multe dintre site-urile care publică o Politică de Confidențialitate nu și-au actualizat conținutul, făcând referire la Legea 677/ 2001 sau afișând în continuare Numărul de înregistrare ca Operator Național de date personale. Acest lucru poate fi o reflectare a faptului că organizația căreia îi aparține site-ul nu a depus destule eforturi de asigurare a alinierii, omițând să actualizeze singurul conținut vizibil, menit să ateste public conformitatea și asumarea responsabilității pentru datele personale prelucrate.

Carențe ale paginilor de Internet – o mulțime de site-uri publice nu au o pagină de Termeni și Condiții, care să stabilească niște reguli de accesare și navigare online, deși asta nu este o cerință GDPR, ci o regulă de conduită pentru toate organizațiile prezente Internet.

Lipsa barei de cookies – Există multe site-uri care, deși au o pagină dedicată politicii de cookies, nu au o bară de cookies care să solicite acceptarea utilizării acestora înainte de începerea navigării pe site.

Acceptarea inutilă a Politicii de confidențialitate – Sunt multe site-uri care utilizează formulare online de colectare a datelor personale (înscrieri newsletter, pagina de contact, descărcări de documente, etc) și condiționează trimiterea acestor date de bifarea unei casete de acceptare a Politicii de confidențialitate. De ce să solicităm această aprobare? Este Politica mea ca Operator și este publică. Cel mult pot să fac o trimitere de informare a faptului că datele personale colectate prin intermediul formularului sunt procesate doar pentru scopul pentru care au fost colectate, conform Politicii de confidențialitate.

Lipsa de granularitate în solicitarea acordului – există un exces de utilizare a Interesului Legitim, ca bază legală pentru prelucrările de marketing, care în plus implică și terții, fără o abordare granulară a tipurilor de activități care se înscriu în această categorie de activități de procesare.

Abuzul de granularitate – se afișează pagini pop-up granulare, cu posibilitatea stabilirii de opțiuni, dar care apar cu casete de acceptare pre-bifate – o contradicție gravă a regulilor de solicitare/ obținere a consimțământului în spiritual GDPR.

Consimțământ condiționat fără posibilitate de opt-aut – marea majoritate a barelor de cookies oferă doar opțiunea de OK, cu condiționarea navigării în continuare de alegerea acestei opțiuni. Așa cum am subliniat și la prezentarea din cadrul GDPR Talks, nu tot ceea ce vechea lege ePrivacy permite, este acceptabil din punct de vedere GDPR, unde consimțământul de utilizare de cookies nu trebuie să fie condiționat de accesul la conținutul paginii. Desigur că utilizatorul trebuie să știe care sunt consecințele neacceptării de cookies, dar asta trebuie să fie opțiunea lui liber consimțită. Mai mult de atât, GDPR ne învață că un consimțământ obținut printr-un anumit procedeu, trebuie să poată fi retras la fel de simplu. Adică dacă pun pe bara de cookies o casetă de Accept, e absolut recomandabil să ofer și posibilitate de opt-out, prin afișarea unei casete de Reject.

Protecție vs. Securitate – există un grad ridicat de confuzie între securitatea datelor și protecția datelor personale. Protecția datelor implică ansamblul măsurilor ce pot fi luate pentru a le restabili în caz de pierdere sau de corupție. În timp ce securitatea datelor se referă la mecanismul de păstrare a datelor în siguranță, de la accesul și distribuirea neautorizate. Securitatea datelor protejează datele de accesul neautorizat care ar putea duce la corupția sau ștergerea datelor, În cazul în care strategia de securitate a datelor nu reușește, protecția datelor facilitează recuperarea copiilor de date curate.

Incidente vs. Breșe de securitate – În același timp, există confuzia între incidente de Securitate și breșe (sau încălcări ale datelor). Un incident poate fi orice eveniment care încalcă politicile de securitate sau de confidențialitate ale unei organizații și poate fi orice, de la o defectarea unei unități de memorie, la pierderea unui laptop ce conține baze de date personale. O încălcare a datelor, pe de altă parte, este un eveniment care a condus la o pierdere sau un furt de date, gravitatea pierderii fiind cuantificată de volumul și importanța datelor afectate. Prin Art.33 GDPR obligă organizațiile să raporteze o încălcare a datelor în maxim 72 de ore de la conștientizarea breșei, recomandând elaborarea unui plan de breșe și organizarea unei echipe de răspuns la încălcarea datelor. Una dintre îndatoririle acestei echipe este să țină o evidență strictă a incidentelor de Securitate, în ideea de a putea asocia ulterior apariția unei breșe de vulnerabilitatea sistemului care a condus la apariția ei.

Pot fi rezolvate toate aceste probleme? Cu siguranță că da, cu condiția ca toți cei implicați să își înțeleagă și să își asume responsabilitatea. Succesul unui proiect GDPR pe termen lung se bazează pe crearea unei culturi la nivel de organizație, în care oamenii se gândesc în primul rând la modul în care ar dori ca informațiile lor personale să fie procesate. Companiile trebuie să adopte această atitudine atunci când manipulează datele personale ale clienților, ale angajaților și ale altor subiecți. Nu este vorba doar despre amenințarea cu sancțiuni financiare. Este vorba de continuitate în business și de construirea unei atitudini de încredere.

O ANALIZĂ GAP A CONFORMITĂȚII ÎN ROMÂNIA DUPĂ 1 AN DE GDPR

La un an de la  intrarea în vigoare a GDPR, agenția Concord Communication și GDPR Ready Initiative vă invită la un eveniment dezbatere ”GDPR Talks ce abordează o temă foarte fierbinte: Cât de pregătiți suntem la un an de la intrarea în vigoare a  noului regulament?”. Vă așteptăm pe 21 mai 2019 la hotelul Pullman să discutăm despre ce s-a făcut bine, ce s-a făcut rău, dar mai ales despre ce se mai poate face.

”Ce ați făcut în ultimul an?” Ar trebui să fie o întrebare obligatorie pentru toți cei implicați în activități legate de asigurarea conformității pentru protecția datelor personale. Dar pentru mulți decidenți, în special din zona organizațiilor publice, întrebarea ”cea grea” ar trebui să fie: ”Ce ați făcut în ultimii trei ani, stimabililor?” Mai trebuie să explic de ce…?

Panelurile de discuții pe care le-am gândit vor încerca să asigure climatul corespunzător pentru o analiză lucidă a realităților asociate cu nivelul de conformitate la care au ajuns operatorii de date personale. Au răspuns la invitația noastră de a participa ca speakeri un mare număr de specialiști, reprezentanți ai autorităților publice, asociațiilor profesionale, avocați, profesioniști, consultanți, specialiști în securitatea informației și furnizori de soluții cybersecurity. Din păcate, această perioadă fiind foarte încărcată cu evenimente, nu toți cei pe care i-am invitat au avut posibilitatea să participe la conferință. Unii dintre aceștia vor putea să-și aducă contribuția prin proiectele editoriale pe care vrem să le derulăm după evenimentul din 21 Mai.

Primul panel va avea ca tematică generală viziunea asupra GDPR din perspectivă publică. Reprezentanți ai autorității de supraveghere, organizații guvernamentale, asociații profesionale și case de avocatură vor avea greaua misiune de a crea o radiografie a modului în care principiile GDPR și drepturile persoanelor vizate sunt respectate în spațiul public. Grea misiune și pentru Moderator…

Al doilea panel, cum era și firesc, va oferi în contra-partidă o perspectivă asupra GDPR din unghiul de vedere al mediului privat. Aici am avut în vedere invitarea unor profesioniști, care indiferent de experiențele anterioare sunt acum capabili să răspundă unor întrebări pragmatice legate de strategiile de abordare a GDPR: greșeli și reușite în adopția GDPR, aspecte practice legate de proiectele de aliniere, recomandări oferite de oameni cu sute de ore de experiență în proiecte, aspecte legale și procedurale de care trebuie să țineți seama, recomandări de la specialiști care activează ca DPO sau erori frecvente legate de conformitatea GDPR a politicilor publice de pe paginile de Internet.

Până acum, se pare că vom acoperi cam tot. Ar mai fi nevoie de ceva? Păi, cam da… Dacă ne gândim care este unul dintre motive care a condus la actualizarea vechii directive europene din 1995 ar cam fi nevoie să facem legătura cu tehnologia. Dar nu oricum… E plină piața de oferte de soluții, care de care mai atotcuprinzătoare și rezolvatoare a tuturor problemelor pe care le ridică GDPR. Am simțit nevoia de ceva mai mult…

Și astfel, în premieră pentru evenimentele din România, cel de-al treilea panel va avea ca temă Etica Digitală, mai exact modul în care transformările digitale respectă principiile GDPR și drepturile noastre fundamentale. Revoluția digitală vine cu siguranță cu o grămadă de lucruri benefice, dar și cu multe semen de întrebare legate de modul în care tehnologiile de graniță precum Cloud Computing, BigData, Analytics, IoT , Blockchain sau Inteligența Artificială pot garanta drepturile fundamentale ale utilizatorilor. În același timp, protecția datelor nu se face doar prin adoptarea de politici. Un rol de bază îl au și tehnologiile. Dar, e bineștiut: orice nouă tehnologie vine cu noi provocări, cu noi vulnerabilități de securitate care nu au apucat încă să fie evaluate. Cât este de importantă analiza de impact în adoptarea de noi soluții și ce se înțelege de fapt prin By Design si By Default?

Aveți un interes special pentru GDPR?
Vreți să știți ce s-a făcut bine anul ăsta și ce nu?
Aveți întrebări la care nu a știut nimeni să vă răspundă?
Veniți la eveniment și veți putea discuta cu cei care știu…

Mai aveți încă dubii dacă trebuie să veniți? Nu uitați că evenimentul va fi exact peste O SĂPTĂMÂNĂ!  Hotelul Pullman. La Piața Presei, lângă World Trade Center.

AICI GĂSIȚI FORULARUL DE ÎNREGISTRARE

 

Errare humanum est. Sed perseverare diabolicum…

Cele mai frecvente erori umane ce pot afecta securitatea datelor personale

Un studiu Osterman Research arată că mai puțin de jumătate (42%) dintre organizațiile participante și-au instruit angajații cu privire la Regulamentul general privind protecția datelor (GDPR), de la intrarea acestora în vigoare. Este bine cunoscut faptul că lipsa de pregătire crește riscul de erori umane care pot duce la încălcări ale datelor. Vom analiza în continuare cele mai frecvente erori ale utilizatorilor și măsurile de prevenire pe care organizațiile ar trebui să le ia pentru a atenua daune potențiale.

  1. Credibilitatea ca expunere la Phishing

Ce se întâmplă: Phishingul și falsa identitate reprezintă 93% din încălcările legate de ingineria socială, iar e-mailul este cea mai vulnerabilă cale de atac (96%). De la scrisorile ce anunță câștiguri la loterie, la schimbarea conturilor bancare pentru plățile pentru furnizori, tentativele de înșelăciune ce urmăresc obținerea unor date confidențiale, parole de acces pentru aplicații de tip bancar, aplicații de comerț electronic, date despre cardurile de credit, tehnicile de manipulare a identității unei persoane sau a unei instituții se remarcă printr-o mare diversitate și, de ce nu, printr-o oarecare doză de ingeniozitate.

Vorbind despre companii, principala cauză pentru vulnerabilitatea angajaților în fața acestui gen de capcane este cât se poate de simplă: lipsa de instruire. În practica de consultanță am întâlnit destule organizații care nu numai că nu au o politică de IT, dar nici angajații nu au beneficiat de o instruire elementară. Alte organizații se ocupă de instruirea IT numai la angajare, neglijând importanța continuității și actualizării informațiilor, pe măsură ce tehnologiile de manipulare evoluează. Pe de altă parte, niște cursuri de pregătire extrem de tehnice pot devin plictisitoare. Cea mai eficientă metodă este cea a scenariilor scurte, în timpul ședințelor de team-building, în care angajații sunt puși în fața unor situații concrete, din lumea reală care arată pericolele reale ale atacurilor de inginerie socială.

Ce se poate face: Pe lângă elaborarea și diseminarea politicilor de Securitate IT, angajații trebuie să fie instruiți tot timpul, la intervale de timp periodice, într-o manieră cât mai interactivă, care să faciliteze asimilarea informațiilor.   Desigur, nici asta nu poate fi o garanție. Potrivit cercetărilor, 4% dintre oameni fac întotdeauna clic pe un atașament suspect. Prin urmare, este necesar să executați periodic teste de simulare a unor atacuri de phishing, pentru a verifica dacă antrenamentul a fost eficient și dacă angajații respectă cele mai bune practici și politici de securitate. Asta în paralel cu implementarea de instrumente de filtrare anti-spam pentru a reduce riscul și mai mult.

  1. Accesul neautorizat la resursele organizației

Ce se întâmplă: 55% dintre adulții care sunt angajați ai unei organizații permit ca membrii familiei sau prietenii să aibă acces la resursele de comunicare sau de calcul la domiciliu. Orice membru ale familiei sau orice prieten poate avea acces involuntar sau intenționat la date sensibile, precum listele de clienți și furnizori, conturile bancare ale organizației sau datele despre conducere și coleg. Ce este mai rău, există pericolul real ca un intrus să descarce programe malware care ar putea permite accesul la datele corporative, aplicațiile cloud și spațiile de stocare.

Ce se poate face: Introducerea ca element obligatoriu în Politica de Securitate a unor instrucțiuni cuprinzătoare privitoare la utilizarea resurselor de calcul și de comunicare ale companiei. Principala responsabilitate revine liderilor de departamente sau echipe, care trebuie să asigure punerea efectivă în aplicare a disciplinei de Securitate, vitală atât pentru siguranța datelor personale, dar mai ales a celor de business. O altă măsură recomandată este implementarea unor controale de securitate corespunzătoare pe dispozitive și sisteme, asigurarea faptului că toate dispozitivele sunt protejate prin parolă și autentificare multi-pas pentru toate dispozitivele și aplicațiile organizației. Există corporații care gestionează utilizarea propriilor dispozitive de către angajați prin Politica BYOD (Buy your own device), stabilind regulile de folosire a telefoanelor, tabletelor sau laptopurilor personale la locul de muncă, în deplasare sau acasă.

  1. Spune-mi cum îl cheamă pe cățelul tău ca să știu ce parolă ai

Ce se întâmplă: 66% dintre cei care nu utilizează un instrument de gestionare a parolei recunosc faptul că preferă să se întoarcă la parolele vechi. Aceasta poate fi o practică foarte riscantă, pentru că odată ce un cont este compromis, un atacator are acces la o varietate mai largă de active. Dincolo de reutilizarea parolei, alte riscuri includ utilizarea parolelor evidente (de ex. 12345678, abc, 1111 sau admin), lipsa unor politici de actualizare regulată și partajarea parolelor cu colegii de birou sau cu rudele.

Ce se poate face: În primul rând o instruire elementară a angajaților în legătură cu alegerea parolelor. Sunt firme care au astfel de prevederi în normele sau codurile interne de conduită. O politică de stabilire și actualizare a parolelor este obligatorie pentru orice organizație prelucrează date personale, fiind inclusă în politica generală IT. Orice instruire trebuie să înceapă cu un sfat elementar: ”Nu lipiți parolele de acces pe monitoarele PC-ului”…

4: Conturi privilegiate ca sursă de riscuri

Ce se întâmplă: Prin conturi cu privilegii ridicate se înțeleg acele conturi care beneficiază de o serie de facilități de acces la resursele companiei, precum conturile de top management sau cele de administrator de sistem. Sunt studii care relevă că cele mai folosite parole ale administratorilor de sistem sunt ”admin” sau ”12345678”. În alte cazuri, chiar dacă parola e destul de puternică, controalele de securitate pentru prevenirea utilizării necorespunzătoare sunt adesea inadecvate. Doar 38% dintre organizații actualizează parolele de administrare o dată pe trimestru; restul o fac mai rar. Dacă profesioniștii IT nu reușesc să actualizeze și să securizeze parolele conturilor privilegiate, atacatorii le pot sparge mai ușor și pot avea acces la rețeaua organizației.

Ce se poate face: O măsură preventivă absolut necesară este alocarea statutului de cont privilegiat doar atunci când este nevoie pentru executarea unor operațiuni administrative, În restul timpului, trebuie să funcționeze aceleași restricții de acces pe care le au toate celelalte conturi din organizație. Pare complicat, dar nu e: în loc să acordați drepturi administrative mai multor conturi, alocați privilegiile în mod selectiv, pe baza nevoilor necesare pentru anumite aplicații și sarcini și numai pentru o scurtă perioadă de timp în care acestea sunt necesare. De exemplu, este bine să se stabilească conturi administrative și salariale separate pentru personalul IT; conturile de administrator ar trebui să fie utilizate numai pentru a gestiona anumite părți ale infrastructurii.

  1. Livrarea greșită a unor mesaje critice

Ce se întâmplă: potrivit unui raport Verizon, livrarea necorespunzătoare este una dintre cele mai frecvente erori umane care poate conduce la vulnerabilități și breșe de date. O cifră alarmantă: 62% dintre erorile umane din domeniul asistenței medicale sunt reprezentate de erorile de expediere. Iată și un caz real: 250 de dosare medicale ale unor pacienți cu afecțiuni pulmonare au fost expediate de un spital din Scoția pe adresa unei bănci, în loc de cea a unei clinici de specialitate.

Ce e de făcut: Măsura cea mai elementară este criptarea tuturor documentelor ce conțin date sensibile și care sunt trimise prin e-mail. În plus, se pot folosi casete pop-up prin care îi atenționați pe expeditori să verifice de două ori adresa de expediere atunci când trimit date personale cu caracter special. O măsură mai sigură, dar puțin mai costisitoare este implementarea unei soluții de prevenire a pierderilor de date (DLP) care monitorizează un eveniment care poate duce la scurgerea de informații și care acționează automat, de exemplu, împiedicând utilizatorii să trimită date sensibile în afara rețelei de compania.

Concluzii

Vestea proastă este că erorile umane pot reprezenta cam 40-50% dintre sursele de vulnerabilitate care pot conduce la apariția unor breșe de Securitate. Restul de 50-60% e reprezentat de folosirea inadecvată a resurselor tehnice și de cauzele externe. Pericolul reprezentat de cauzele cu sursă umană este real. E perfect posibil ca o companie care e super protejată tehnologic în domeniul securității cibernetice, să fie vulnerabilă prin greșelile angajaților.

Vestea bună este că, fiind de natură internă, organizația poate adopta și implementa măsurile de control cele mai adecvate pentru reducerea sau chiar eliminarea surselor de vulnerabilitate datorate erorilor umane. Cu alte cuvinte, putem avea controlul asupra a 40-50% dinte cauze. Cum putem face asta? Prin adopția, implementarea și asimilarea politicilor interne la nivel de companie, care ne pot ajuta să reducem riscurile de breșă în mod adecvat. Căci un proiect de asigurare a conformității GDPR se bazează pe triada: OAMENI – PROCESE – TEHNOLOGIE.

Conform unuia dintre cele 7 principii PIA, o companie trebuie să fie Proactivă, nu Reactivă. Adică să țină cont de riscurile potențiale înainte ca acestea să se transforme în breșe. Pentru asta, orice organizație trebuie să-și îmbunătățească capacitățile de detectare a vulnerabilităților, astfel încât să poată răspunde cu promptitudine evenimentelor suspecte sau necorespunzătoare. Cum putem face asta? Prin soluții și metode de monitorizare a comportamentului utilizatorilor care să ne permită să urmărim activitatea tuturor utilizatorilor, inclusiv a celor care beneficiază de privilegii.

Dar cel mai important factor de prevenire a erorilor umane ale angajaților este sensibilizare acestora în legătură cu propria răspundere pentru siguranța datelor personale prelucrate. Cum putem face asta? Proiectând și implementând o adevărată cultură GDPR.