O ANALIZĂ GAP A CONFORMITĂȚII ÎN ROMÂNIA DUPĂ 1 AN DE GDPR

La un an de la  intrarea în vigoare a GDPR, agenția Concord Communication și GDPR Ready Initiative vă invită la un eveniment dezbatere ”GDPR Talks ce abordează o temă foarte fierbinte: Cât de pregătiți suntem la un an de la intrarea în vigoare a  noului regulament?”. Vă așteptăm pe 21 mai 2019 la hotelul Pullman să discutăm despre ce s-a făcut bine, ce s-a făcut rău, dar mai ales despre ce se mai poate face.

”Ce ați făcut în ultimul an?” Ar trebui să fie o întrebare obligatorie pentru toți cei implicați în activități legate de asigurarea conformității pentru protecția datelor personale. Dar pentru mulți decidenți, în special din zona organizațiilor publice, întrebarea ”cea grea” ar trebui să fie: ”Ce ați făcut în ultimii trei ani, stimabililor?” Mai trebuie să explic de ce…?

Panelurile de discuții pe care le-am gândit vor încerca să asigure climatul corespunzător pentru o analiză lucidă a realităților asociate cu nivelul de conformitate la care au ajuns operatorii de date personale. Au răspuns la invitația noastră de a participa ca speakeri un mare număr de specialiști, reprezentanți ai autorităților publice, asociațiilor profesionale, avocați, profesioniști, consultanți, specialiști în securitatea informației și furnizori de soluții cybersecurity. Din păcate, această perioadă fiind foarte încărcată cu evenimente, nu toți cei pe care i-am invitat au avut posibilitatea să participe la conferință. Unii dintre aceștia vor putea să-și aducă contribuția prin proiectele editoriale pe care vrem să le derulăm după evenimentul din 21 Mai.

Primul panel va avea ca tematică generală viziunea asupra GDPR din perspectivă publică. Reprezentanți ai autorității de supraveghere, organizații guvernamentale, asociații profesionale și case de avocatură vor avea greaua misiune de a crea o radiografie a modului în care principiile GDPR și drepturile persoanelor vizate sunt respectate în spațiul public. Grea misiune și pentru Moderator…

Al doilea panel, cum era și firesc, va oferi în contra-partidă o perspectivă asupra GDPR din unghiul de vedere al mediului privat. Aici am avut în vedere invitarea unor profesioniști, care indiferent de experiențele anterioare sunt acum capabili să răspundă unor întrebări pragmatice legate de strategiile de abordare a GDPR: greșeli și reușite în adopția GDPR, aspecte practice legate de proiectele de aliniere, recomandări oferite de oameni cu sute de ore de experiență în proiecte, aspecte legale și procedurale de care trebuie să țineți seama, recomandări de la specialiști care activează ca DPO sau erori frecvente legate de conformitatea GDPR a politicilor publice de pe paginile de Internet.

Până acum, se pare că vom acoperi cam tot. Ar mai fi nevoie de ceva? Păi, cam da… Dacă ne gândim care este unul dintre motive care a condus la actualizarea vechii directive europene din 1995 ar cam fi nevoie să facem legătura cu tehnologia. Dar nu oricum… E plină piața de oferte de soluții, care de care mai atotcuprinzătoare și rezolvatoare a tuturor problemelor pe care le ridică GDPR. Am simțit nevoia de ceva mai mult…

Și astfel, în premieră pentru evenimentele din România, cel de-al treilea panel va avea ca temă Etica Digitală, mai exact modul în care transformările digitale respectă principiile GDPR și drepturile noastre fundamentale. Revoluția digitală vine cu siguranță cu o grămadă de lucruri benefice, dar și cu multe semen de întrebare legate de modul în care tehnologiile de graniță precum Cloud Computing, BigData, Analytics, IoT , Blockchain sau Inteligența Artificială pot garanta drepturile fundamentale ale utilizatorilor. În același timp, protecția datelor nu se face doar prin adoptarea de politici. Un rol de bază îl au și tehnologiile. Dar, e bineștiut: orice nouă tehnologie vine cu noi provocări, cu noi vulnerabilități de securitate care nu au apucat încă să fie evaluate. Cât este de importantă analiza de impact în adoptarea de noi soluții și ce se înțelege de fapt prin By Design si By Default?

Aveți un interes special pentru GDPR?
Vreți să știți ce s-a făcut bine anul ăsta și ce nu?
Aveți întrebări la care nu a știut nimeni să vă răspundă?
Veniți la eveniment și veți putea discuta cu cei care știu…

Mai aveți încă dubii dacă trebuie să veniți? Nu uitați că evenimentul va fi exact peste O SĂPTĂMÂNĂ!  Hotelul Pullman. La Piața Presei, lângă World Trade Center.

AICI GĂSIȚI FORULARUL DE ÎNREGISTRARE

 

Advertisements

CONSTRUIREA CULTURII GDPR ȘI REGÂNDIREA STRATEGIEI DE SECURITATE CIBERNETICĂ SUNT PILONII DE BAZĂ AI CONFORMITĂȚII GDPR

Iată un interviu publicat de revista Market Watch în primul număr din acest an. Cu ocazia ”Zilei protecției datelor” aniversată în întreaga Europă pe data de 28 ianuarie, am avut plăcerea să răspund la câteva întrebări legate de realitățile adopției GDPR după 7 luni de la intrarea în vigoare. Cum ne apropiem vertiginos de momentul ”1 an de GDPR”, iar lucrurile nu s-au schimbat prea mult de la sfârșitul lui ianuarie, redau mai jos discuția cu Mona Muscă.

La 7 luni de la data de 25 mai 2018, când legislația europeană în domeniu a devenit mai strictă, care este statusul în privința conformității cu GDPR al companiilor din România?
Privind din perspectivă regională, România nu oferă un statut special, diferit față de alte țări ale UE. Trebuie să ținem cont, bineînțeles, de specificul local legat de statutul economic și peisajul juridic, însă entitățile de afaceri din România se confruntă cu aceleași provocări cheie precum orice altă țară a UE. Ceea ce este important pentru orice verificator în privința datelor cu caracter personal este înțelegerea faptului că problematica GDPR nu ar trebui tratată ca o calamitate. Efectuând eforturi coordonate pentru a se alinia la standardele de conformitate coordonate de principiile GDPR, orice organizație ar trebui să adopte schimbările necesare în procesele de afaceri ca un motor al transformării afacerii. Și din această perspectivă apare drama. Potrivit cercetărilor mele și a unei interacțiuni permanente cu realitățile pieței, principalul obstacol în adoptarea proceselor GDPR nu se datorează lipsei tehnologiilor și abilităților oamenilor în domeniul securității informatice. Principalul factor de frânare este lipsa angajamentului managerial de a efectua schimbări. Atitudinea este dictată de rezistența conducerii față de schimbare. Și această atitudine nu este asociată doar cu „efectul tsunami” al GDPR. Este reacția de rezistență la orice tehnologie perturbatoare/disruptivă.

Confidențialitatea, integritatea și disponibilitatea datelor sunt principalele motoare ale politicilor de securitate a datelor. Credeți că se aplică după experiența din 2018?
Privind la unul dintre cele mai importante obiective ale noului Regulament al UE, conformitatea cu GDPR ar trebui să merite în primul rând din punct de vedere al drepturilor fundamentale de libertate ale oricărui cetățean al UE și sub aspectul consolidării încrederii în viața privată a datelor. Trebuie să învățăm cum să avem respect față de datele noastre, cum să le protejăm, pentru ca aceste date să ne confere libertate de mișcare în cea mai mare siguranță. Aceasta este una dintre paradigmele GDPR. Cealaltă este construirea unei culturi a datelor cu caracter personal. Un proiect de adoptare GDPR nu este o implementare IT simplă sau o actualizare a conținutului contractual pentru a se potrivi noului cadru legal. Un proiect de adoptare a GDPR ar trebui în primul rând să creeze baza pentru implementarea culturii GDPR. La fel ca în industria securității cibernetice (cybersecurity), nu am avut o soluție 100% sigură. Orice zid tehnologic nou a fost făcut să fie spart … În aceeași filozofie este practic imposibil să te consideri 100% conform GDPR. Dar pentru a te apropia mai mult de acest ideal, trebuie să construiești o cultură GDPR. Și pentru asta avem nevoie de timp. Trebuie să creăm o cultură de încredere, de confidențialitate în organizația noastră. Trebuie să educăm angajații cu privire la importanța și impactul protejării clienților, a angajaților și a informațiilor partenerilor, precum și în privința înțelegerii rolului cheie pe care îl joacă oricine, prin menținerea siguranței.

Înțeleg că înainte de orice trebuie să construim încredere …
Cam despre asta e vorba. Iar printre principalii driveri în construirea încredererii într-o cultură GDPR fiabilă sunt:
• Dacă colectați, protejați.
• Respectați măsurile de securitate rezonabile pentru a păstra informațiile personale ale persoanelor fizice în siguranță de la accesul necorespunzător și neautorizat.
• Fiți transparenți și etici în privința modului în care colectați, utilizați și distribuiți informații personale.
• Gândiți-vă la modul în care persoana individuală se poate aștepta ca datele sale să-i fie utilizate și la setările necesare pentru a-i proteja informațiile din start.
• Construiți încrederea făcând ceea ce spuneți că veți face.
• Comunicați clar și concis publicului politica dvs. de confidențialitate, publicați-o pe pagina dvs. web și actualizați Termenii și condițiile și Politicile cookie-urilor în acord cu spiritul GDPR.

Care este locul protecției datelor în cadrul strategiei de securitate cibernetică? Sunt conștienți managerii și angajații companiilor? Este omul factorul critic în această ecuație?
Transformarea esențială pe care o aduce GDPR-ul este legată de faptul că trebuie să reconsiderăm strategia de securitate cibernetică. Centrul datelor nu mai este protecția datelor. Avem nevoie de asigurarea ciclului de viață pentru întregul flux de date cu caracter personal. Trebuie să extindem eforturile noastre de protecție de la datele de business la întregul flux de date personale dintr-o companie, de la colectarea de date, procesarea simplă, stocarea locală, criptarea datelor, schimbul de date și instrumentele de comunicare, transferul datelor internaționale, până la arhivarea datelor și stocarea finală.
Rezumând, avem nevoie de soluții end-to-end. Iată diferența dintre conceptele foarte specifice ale evaluării impactului asupra vieții private (PIA – Privacy Impact Assessment) și conceptul mai amplu al evaluării impactului asupra protecției datelor (DPIA – Data Protection Impact Assessment).

Totul se referă la conformitate/compliance. Dar este acum o lume mai sigură?
„Conformitatea/compliance” este un termen folosit de 85 de ori în conținutul Regulamentului UE. Ce este cu adevărat conformitatea? În diferitele etape, controller-ul de date sau procesorul de date trebuie să demonstreze că desfășoară orice activitate legată de protecția datelor cu caracter personal, respectarea principiilor (articolul 5c.2), numirea unui RPD (articolul 37), alinierea la o analiză a riscurilor sau o DPIA (articolul 35), adoptarea protecției datelor prin proiectare (articolul 25), registrele activității de prelucrare (articolul 30) sau sistemul de gestionare a breșelor datelor (articolul 33, 34). Deci, practic, trebuie să dovedim această conformitate prin orice proces, politică sau procedură adoptată.

Ce schimbări a dus legislația privind protecția datelor la tendința spre cloud?

Aici este ceva chiar amuzant. Cloud computing-ul a fost perceput de la început ca o tehnologie perturbatoare. Acum trebuie să analizăm cât de disruptiv este GDPR pentru serviciile cloud. Vestea bună este că din punct de vedere al protecției datelor Cloud-ul nu este o problemă. Atâta timp cât termenii contractuali respectă principiile, avem o bază juridică pentru servicii, răspunderea este asumată în mod transparent, iar persoanele vizate sunt îndeajuns de informate cu privire la condițiile de procesare și stocare a datelor lor, totul fiind în concordanță.
În funcție de tipurile de servicii oferite, un furnizor de cloud poate fi considerat un procesor de date simplu (găzduire și hosting fără gestiune) sau un furnizor privat, public sau hibrid. Din punct de vedere al protecției datelor și al caracteristicilor de securitate, este binecunoscut faptul că un serviciu de cloud ar putea fi considerat o soluție de siguranță prin transferarea responsabilităților de protecție a datelor către furnizorul de servicii cloud.
Să ne reamintim că Alianța pentru Securitate în Cloud a stabilit acum doi ani un Cod de Conduită referitor la problemele de securitate a serviciilor cloud oferind furnizorilor din cloud o resursă foarte valoroasă pentru a demonstra conformitatea prin adoptarea acestui Cod de Conduită.

In piața românească care sunt cei mai importanți factori de risc legați de adoptarea GDPR?
Aici intrăm într-o zonă „50 grey shadows”. Debutul oricărui proiect de aliniere este organic legat de o decizie managerială. Nimic nu se poate face dacă managementul nu este convins de importanța subiectului. Dar înțelegerea importanței nu este totul. Conducerea trebuie să conducă activitățile, să înființeze o echipă, să delege o persoană responsabilă și, îndeosebi, să planifice resurse. Asta înseamnă să te implici. Orice analiză sau audit de afaceri, care reprezintă primul pas în realizarea unui proiect de asigurare a conformității, se referă la nivelul de implicare managerială. Sunt managerii direct implicați, participă la discuții sau deleagă o persoană de încredere care să se ocupe de tot?
Ce situații s-ar putea întâmpla de fapt? Toți pașii implementării până în prezent au fost, în majoritatea cazurilor, sub impulsul presiunii externe și rareori rezultatul convingerii reale a conducerii. Din păcate, există încă mulți manageri care consideră GDPR: o prostie, un exercițiu simplu birocratic, o amenințare cu sancțiuni uriașe care nu vor pune niciodată în pericol organizația noastră, o mulțime de bani aruncați, un mare bluf: niciunul dintre amici sau parteneri nu a făcut nimic pentru asta, și nu i s-a întâmplat nimic. Și lista ar putea continua mult și bine…

Aici poate fi citit articolul original ”Evoluția adopției GDPR la șapte luni de la lansare” publicat de Market Watch pe 14 februarie

 

Analiza GDPR (2): 10 SFATURI PENTRU MANAGERI – NU LĂSAȚI PE MÂINE…

Au trecut 6 luni de la intrarea în vigoare a noului Regulament UE 679 și aproximativ un an de când alinierea GDPR a devenit un subiect extrem de discutat. După o perioadă extrem de agitată, care a culminat cu avalanșa de declarații și solicitări de consimțământ de la sfârșitul lunii mai, lucrurile au intrat treptat, într-o stare de acalmie. Asta poate fi BINE, dacă presupunem că oamenii au înțeles despre ce e vorba și au început demersurile de aliniere. Dar realitatea ne arată că presupunerea este FALSA. REALITATEA ESTE ALTA ȘI ASTA NU E BINE.  

Totul pleacă de la manageri

Demararea unor proiecte de aliniere este legată ombilical de o decizie managerială. Nimic nu se poate face dacă managementul nu este convins de importanța subiectului. Dar înțelegerea importanței nu este totul. Managementul trebuie să gestioneze demararea activităților, să stabilească o echipă, să delege un responsabil și, mai ales să planifice resursele. Adică să se implice.

Orice analiză sau audit de business care constituie prima fază în derularea unui proiect de asigurare a conformității are în vedere nivelul de implicare managerial. Sunt managerii implicați direct, participă la discuții sau au delegat o persoană de încredere care să se ocupe de tot?

Ce situații am întâlnit în realitate? Toate demersurile de implementare realizate până acum, în majoritatea cazurilor,  au fost impulsul unei presiuni externe și destul de puțin și de rar rezultatul unei convingeri reale. Din păcate, încă sunt mulți manageri care consideră GDPR:

  • o mare prostie,
  • un simplu exercițiu birocratic,
  • o amenințare cu penalități uriașe care nu vor periclita niciodată propria organizație,
  • mulți bani aruncați degeaba.
  • o bătaie de cap în plus, care mai poate să aștepte
  • o mare cacealma, nimeni nu a fost amendat pana acum
  • niciunul dintre amici sau parteneri nu a făcut nimic pentru asta și nu li s-a întâmplat nimic
  • cei care au angajat o firmă de consultanță a dat banii degeaba pentru că au fost nevoiți să facă totul singuri…
  • ceva inutil. Eu nu lucrez decât cu date de business. Astea sunt date publice, nu personale

Și lista ar putea continua mult și bine…

Ce trebuie făcut

Oameni buni, niciodată nu e prea târziu. Oricând puteți începe exercițiile de aliniere. Iată câteva sfaturi:

  1. GDPR NE PRIVEȘTE PE TOȚI – Nu e o prostie, o găselniță a politicienilor sau avocaților ca să ne mai ia niște bani. Orice organizație, asociație, sau persoană fizică autorizată exercită o activitate în care ajunge să dețină niște date personale ale clienților, partenerilor sau angajaților E OBLIGATĂ să se supună GDPR.
  2. MĂRIMEA NU CONTEAZĂ – Fie că avem o companie cu 10, 50 sau peste 250 de angajați, fie că suntem o microîntreprindere, un ONG sau o asociație profesională, fie că administrăm o asociație de locatari sau că suntem un consultant independent, avocat, stomatolog sau blogger specializat, AVEM NEVOIE DE GDPR. Desigur că nu toți avem nevoie de toate procedurile și politicile. Dar există un nucleu de activități și măsuri care sunt absolut obligatorii pentru orice fel de organizație. Nu avem cum să evităm asta. TREBUIE SĂ FIM PREGĂTIȚI.
  3. GDPR ÎNSEAMNĂ ASUMAREA RĂSPUNDERII – Suntem răspunzători pentru datele noastre personale. Pentru angajații noștri. Pentru clienții noștri. Pentru partenerii noștri. Nu facem asta cu gândul la inspecțiile Autorității și nici ca pe o simplă formalitate birocratică. O facem pentru binele nostru și al comunității în care trăim și activăm. O FACEM CA RESPONSABILI PENTRU RESPONSABILITATEA NOASTRĂ.
  4. GDPR ESTE MAI MULT DECÂT UN SIMPLU PROIECT – Mai mult decât o implementare de soluții IT. Mai mult decât o revizuire birocratică a documentelor dintr-o altă perspectivă birocratică. Este o acțiune asumată, documentată și permanentă care presupune luarea de decizii, elaborarea de politici, adoptarea de proceduri, dar mai ales o acțiune de echipă, în care avem o triplă implicare: OAMENI, TEHNOLOGIE, PROCESE.
  5. GDPR ESTE O CERINȚĂ PERMANENTĂ – Nu este un simplu hei-rup, o activitate punctuală sau o implementare de proceduri după care cineva îți dă o diplomă. Este un exercițiu permanent, o cerință obligatorie de business pentru întregul ciclu de viață al uni afaceri. Ca să păstrăm un nivel optim de conformitate trebuie să acționăm continuu, să rămânem între anumiți parametri.
  6. GDPR ESTE O INVESTIȚIE ÎN EFICIENȚĂ – Nu sunt bani aruncați. Nimeni nu ne obligă să facem toate achizițiile dintr-o dată. O analiză de risc poate ajuta la crearea unor planuri de remediere gradată a eventualelor surse de incidente legate de pierderea de date personale. Ne concentrăm pe ce e mai important acum și facem un efort. Un buget alocat pentru viitorul exercițiu financiar ne va ajuta la păstrarea echilibrului balanței. Sunt multe posibilități de realocare a unor bugete în momentul în care am devenit conștienți că E MUSAI NEVOIE DE ASTA.
  7. INSTRUIȚI-VĂ OAMENII –  Invățarea nu este o rușine. Este o nevoie permanentă. Nu înțelegeți exact despre ce e vorba și nu aveți timp să vă bateți capul. Participați la o ședință de instruire GDPR de una sau două zile. Sunt deja zeci de cursuri care oferă asta. O puteți face și online, de la birou sau din fotoliul de acasă. Veți vedea despre ce e vorba. Veți înțelege de ce e important. VEȚI REALIZA CE RESPONSABILITĂȚI AVEȚI.
  8. PREGĂTIȚI-VĂ UN SPECIALIST ÎN PROTECȚIA DATELOR – Chiar dacă legea nu vă obligă să angajați sau să numiți un DPO, multe aspecte legate de adoptarea GDPR reclamă competențele unui om care a parcurs o instruire de DPO. Nu așteptați ca să se rezolve problema certificării. Nu mai este timp pentru așteptare. Nu aveți nevoie de diplome, ci de (cel puțin) un om care să știe de unde să înceapă, cu cine să înceapă și ce e de făcut.
  9. AVEM NEVOIE DE CULTURĂ GDPR – Asta înseamnă respectul pentru date. Instruirea permanentă a angajaților. Testarea eficienței sau efectivității procedurilor existente. Adaptarea la schimbare. GDPR va suferi modificări în timp. Verificarea conformității cu normativele conexe precum e Privacy sau NIS. Conformitatea GDPR devine o permanență, la fel ca regulamentele de ordine interioară, protecție împotriva incendiilor sau măsurile de evacuare în caz de calamități naturale. Protejați-vă datele! Scrieți un postit-ul lipit pe ușă unde scrie: ”stinge lumina!”, ”verifică gazele!” sau ”activează alarma!”
  10. GDPR ESTE O OPORTUNITATE, NU O CALAMITATE – Priviți eforturile de aliniere ca pe o investiție în eficientizarea activităților. Ca pe un prim demers în transformarea digitală a organizației. Ca pe o etichetă de încredere față de angajații noștri, clienții noștri și partenerii noștri.

Iată un exemplu pe care îl folosesc des în discuțiile din proiecte sau de la ședințele de instruire: Obținerea conformității GDPR poate fi comparată cu pregătirile de decolare pe care le face echipajul unei aeronave. Pregătim instrucțiunile de zbor, verificăm echipajul, consultăm aparatura de bord și demarăm procedurile de decolare. Dar menținerea conformității GDPR pe termen lung trebuie comparată cu zborul propriu-zis. Cu activitățile absolut necesare pentru menținerea la un plafon de 11000 de metri. Nu ne permitem sa greșim. Chiar dacă se setează pilotul automat, cineva tot trebuie să vegheze și să știe în permanență ce este de făcut.

Depinde doar de noi. Este responsabilitatea noastră ca manageri. Conformitatea GDPR nu se poate asigura fără implicarea noastră și a întregii organizații. De noi depinde cum aplicăm procedurile recomandate de un consultant. De noi depinde cum asimilăm politicile și cum ne asigurăm că oamenii le și respectă. De noi depinde sănătatea și eficiența afacerii noastre. De noi depinde cum putem transforma conformitatea într-un avantaj competitiv.

GDPR explicitat (3): Respectați principiile și demonstrați-vă conformitatea activităților

Articol publicat pe siteul cloud☁mania în data de 10 Iulie 2017. Autor: Radu Crahmaliuc

Și iată-ne ajunși la partea de principii. Sub GDPR, principiile de protecție a datelor stabilesc principalele responsabilități pentru organizații. Principiile sunt similare cu cele din Legea 677/2001, cu detalii adăugate la  anumite puncte și o nouă cerință pentru responsabilitate. În fond, acest principiu al responsabilității este unul dintre vectorii cheie ai GDPR. Operatorii de date personale sunt obligați nu numai să respecte aceste principii, ci și să demonstreze modul în care sunt activitățile lor sunt conforme cu principiile prelucrării datelor personale.  Dar hai sa le vedem pe rând.

Care sunt principiile GDPR? Le găsim în Art.5: ”Principii legate de prelucrarea datelor cu caracter personal”:

a). Legalitate, echitate şi transparenţă – acesta este un principiu esențial, strâns asociat cu drepturile fundamentale ale omului. Datele cu caracter personal trebuie să fie prelucrate ”în mod legal, echitabil şi transparent faţă de persoana vizată.”

b). Limitări legate de scop – datele personale trebuie să fie colectate în scopuri bine determinate, explicite şi legitime, iar prelucrările ulterioare nu trebuie să se abată de la aceste scopuri. E important aici să reținem că prelucrarea publica prin arhivare, pentru cercetare ştiinţifică/ istorică sau pentru analize statistice nu se considera ca deviantă de la scopurile iniţiale – așa cum se arată în Art. 89, alin. 1.

c). Reducerea la minimum a datelor – prin acest principiu operatorii sunt avizați de faptul că orice colectare de date personale trebuie foarte bine analizată înainte de obținerea efectivă a datelor, care trebuie să fie cele mai relevante și strict limitate la ceea ce este absolut necesar pentru scopurile în care sunt prelucrate.

d). Exactitatea informațiilor – operatorii trebuie să se ia toate măsurile pentru a asigura validitatea datelor, iar cele dovedite inexacte trebuie actualizate rapid sau șterse.

e). Limitarea stocării – datele trebuie păstrate fix atâta timp cât sunt necesare pentru pelucrarea asumată. Perioadele mai lungi de stocare sunt excepții asociate cu activități publice de arhivare, cercetare sau statistica, conform Art. 89, alin. 1.

f). Integritate și confidențialitate – iarăși un principiu esențial. Prelucrarea datelor personale trebuie făcută în cele mai proprii condiții de siguranță, care să includă ”protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare”.   Din punctul meu de vedere, acesta este un vortex al GDPR. Cine nu respectă acest principiu este direct expus la breșe de securitate și confidențialitate, fiind un candidat sigur pentru extrem de severele penalități.

Așa cum spuneam și puțin mai sus, în partea introductivă a acestui articol, aceste principii se regăsesc și în legislația actuală. Dacă luăm Directiva 95/ 46 EC la Art. 6 din Capitolul ”Principii legate de calitatea datelor” găsim că datele cu caracter personal trebuie să fie:

a). prelucrate cu bună-credință – conform dispozițiilor legale;

b). colectate în scopuri determinate, explicite şi legitime – cu același amendament legat de prelucrarea științifică și statistică, dar fără operațiunile de arhivare în interes public prezente în GDPR;

c). adecvate, pertinente şi neexcesive – prin raportare la scopul în care sunt colectate şi ulterior prelucrate;

d). exacte şi, dacă este cazul, actualizate –  cu recomandarea ca datele inexacte sau incomplete să fie şterse sau rectificate;

e). stocate într-o formă care să permită identificarea persoanelor vizate strict pe durata necesară – cu completarea legată de condițiile și garanțiile aferente stocării pe termen lung.

Marea diferență față de textul Directivei 95/ 47 apare la Aliniatul 2:

  • În Directiva Comisiei Europene (Art.6, Alin.2) se arată că: ”Operatorul trebuie să se asigure că se respectă alineatul (1)”
  • În GDPR (Art. 5, Alin.2) apare clar principiul responsabilității: ”Operatorul trebuie să fie responsabil de respectarea alineatului (1) şi să poată demonstra această respectare (“responsabilitate”).”

Cu alte cuvinte, cea mai importantă adăugare la GDPR este principiul responsabilității. GDPR vă cere nu numai să respectați principiile – de exemplu, prin documentarea deciziilor luate cu privire la o activitate de procesare, ci și să demonstrați oricând această responsabilitate. Dar, în opinia mea, noțiunea de ”accountability”, introdusă în textul original al GDPR  înseamnă puțin mai mult decât o simplă ”responsabilitate”. Descrierea Cambridge English Dictionary e concludentă pentru asta: ”Someone who is accountable is completely responsible for what they do and must be able to give a satisfactory reason for it”

Mergând la textul legislației naționale, paragraful 2 din Art. 4 nu diferă forte mult de conținutul Art. 5 din GDPR. Astfel, în Legea 677/2001, Art.4, Alin 2. se specifică: Operatorul este responsabil de respectarea alineatului (1) şi poate demonstra această respectare (“responsabilitate”).”

Concluzionând, iată ce am reținut ca extrem de important din capitolul despre Principii (a se vedea GDPR Considerentul 39):

  • Orice prelucrare de date cu caracter personal trebuie să fie legală şi echitabilă.
  • Principiul transparenţei prevede că orice informaţii şi comunicări referitoare la prelucrarea respectivelor date cu caracter personal trebuie să fie uşor accesibile şi uşor de înţeles şi că se utilizează un limbaj simplu şi clar.
  • Persoanele fizice trebuie informate cu privire la riscurile, normele, garanţiile şi drepturile în materie de prelucrare a datelor cu caracter personal şi cu privire la modul în care să îşi exercite drepturile în legătură cu prelucrarea.
  • Scopurile specifice în care datele cu caracter personal sunt prelucrate trebuie să fie explicite şi legitime şi să fie determinate la momentul colectării datelor respective.
  • Datele cu caracter personal trebuie să fie adecvate, relevante şi limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate.
  • Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în mod rezonabil prin alte mijloace.
  • Operatorul trebuie să stabilească termene pentru ștergere sau revizuirea periodică.
  • Datele personale trebuie prelucrate într-un mod care să asigure în mod adecvat securitatea şi confidențialitatea, inclusiv în scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter personal şi a echipamentului utilizat pentru prelucrare.