« Secţiuni « Arii de practică « BusinessProtectiveLitigation
Cyberlaw
CărţiProfesionişti
SAVESCU & ASOCIATII
 

Protecția datelor ca ”business as usual”
18.10.2021 | Anca VASILESCU

JURIDICE - In Law We Trust ZRVP
Anca Vasilescu

Anca Vasilescu

Ne aflăm la mai bine de trei ani de la momentul în care Regulamentul European privind Protecția Datelor 679/2016, sau GDPR, pentru prieteni, a devenit aplicabil, ani cu multe schimbări, pe durata cărora s-a tot discutat despre cum să devenim “compliant”. În acest context, vă invit să parcurgem împreună următoarele rânduri despre cum să rămânem conformi cu GDPR-ul, pe măsură ce trece timpul, iar peisajul protecției datelor devine tot mai complex.

Așadar, ce înseamnă “compliance” continuu? Cum poate fi acest lucru acomodat într-un mod sustenabil și consolidat, în acord cu principiul responsabilității Operatorului de date?

Iată câteva idei:

1. Înțelegerea contextului activităților de prelucrare

Acest lucru presupune atât identificarea activităților de prelucrare aferente proceselor de business, cât și punerea lor în contextul strategic al companiei. Astfel, pentru a evita transformarea cerințelor de protecție a datelor într-un proces greoi sau limitativ din perspectiva oportunităților de business, este esențial ca strategiile și direcțiile de creștere dorite de Operator să fie înțelese și utilizate ca un schelet al strategiei de privacy. Doar în acest fel protecția datelor poate fi încorporată într-un mod constructiv, având ca efect îmbunătățirea responsabilității interne și creșterea încrederii acordate de public.

Această strategie nu se poate rezuma, limitativ, la implementarea artefactelor menționate de Regulament (Note de informare, Registru al activităților de prelucrare, analize de impact etc.), deoarece așa cum nici procesul de creștere și schimbare al organizației nu stagnează, nici activitatea de protecție a datelor personale nu poate fi statică.

Un proces ce permite înțelegerea acestui context al prelucrărilor este prevăzut chiar de GDPR și privește necesitatea implementării de măsuri care să asigure protecția datelor din momentul conceperii („privacy by design”). Astfel de măsuri permit dezvoltarea unor procese operaționale conforme cu cerințele legale, sau implementarea de modificări ale proceselor existente cu respectarea principiilor și cerințelor GDPR. În acest sens, este recomandabilă modificarea cadrului procedural existent în sensul includerii unor etape obligatorii de analiză a fluxurilor operaționale noi înainte de implementarea acestora, sau a modificărilor aduse unor fluxuri existente. Etapa de analiză poate fi bazată pe documente standard, de tip chestionar sau check-list, care să permită captarea contextului operațional, astfel încât acestea să poată fi preluate în analiză într-un mod cât mai structurat.

Un alt element important pentru constructul Operatorului de date responsabil este prelucrarea etică a datelor (personale sau nu); astfel verificarea măsurii în care anumite scopuri de utilizare a datelor poate fi considerată etică (nu numai predictibilă sau întemeiată), reprezintă un pas esențial inclusiv în direcția aplicării cerințelor de privacy by design.

2. Popularizarea protecției datelor

Din păcate, măsurile de creștere a nivelului de înțelegere al cerințelor impuse de GDPR – “awareness”, sunt de multe ori văzute, în mod limitativ, ca și activități standard, anuale, ce presupun parcurgerea unor materiale nepersonalizate ce vorbesc despre date cu caracter personal și cerințe principale ale GDPR-ului, fără a ancora aceste informații în realitatea faptică a activității departamentelor destinatare ale trainingului.

Într-adevăr, crearea unui nivel comun de înțelegere al unor aspecte de bază reprezintă un prim pas absolut necesar. Explicarea noțiunilor precum: „ce înseamnă date personale”, „ce reprezintă activitatea de prelucrare”, „utilizarea autorizată a datelor și întinderea acestei autorizări”, „ce sunt incidentele de tip încălcare a securității datelor cu caracter personal”, în toate ariile sunt acțiuni inițiale obligatorii. Însă, reiterarea periodică a acestora, în afara unui context de training în etapa de on-boarding a noilor angajați, nu aduce plus valoare prin raportare la personalul curent care deja a parcurs această etapă de pregătire inițială.

Dincolo de o înțelegere corectă a noțiunilor de bază, pentru a ajunge la un parteneriat între Responsabilul cu Protecția Datelor (DPO) și restul organizației, este necesară aplicarea unor măsuri adiționale de training, adaptate specificului fiecărei zone. Acest lucru poate fi realizat prin furnizarea de exemple concrete, discutarea incidentelor produse de o anumită arie, sau a riscurilor specifice prin prisma activității desfășurate de respectivul departament. De asemenea, fiecare sesiune de training poate fi o oportunitate valoroasă nu numai de a capta întrebări sau a adresa neclarități, dar și de a înțelege dificultățile ridicate de implementarea „one-size fits all” a GDPR, în scopul de a o adapta nevoilor punctuale.

Cerințele GDPR pot fi înțelese într-un mod facil de către ariile de business prin aplicarea unei abordări mixte, bazată atât pe platforme de training la distanță și prezentări interactive de tip workshop, dar și pe mesaje de informare, concursuri de privacy cu premii și mesaje de atenționare punctuale (în special în legătură directă cu lansarea de noi produse, proiecte noi sau incidente produse într-o anumită zonă).

3. Descentralizarea activității de monitorizare, conștientizare și sesizare riscuri

GDPR vorbește despre responsabilitatea Operatorului de date în desfășurarea unei activități de prelucrare conforme cu cele 6 principii: legalitate, echitate și transparență, minimizare a datelor, exactitate a datelor, limitare de scop și stocare, integritate și confidențialitate și stabilește necesitatea de a numi, în anumite cazuri, un DPO în vederea informării și consilierii Operatorului, monitorizării respectării cerințelor de protecție a datelor cu caracter personal, precum și cooperarea cu Autoritatea de Supraveghere.

Totuși, prin raportare la organizații cu un număr ridicat de angajați și cu procese de prelucrare complexe, este dificil de imaginat că o funcție/un reprezentant unic ar putea asigura, în absența oricărui alt suport, un program de „privacy” continuu, coerent și eficient.

Din acest motiv este recomandabilă descentralizarea activității de asigurare a respectării cerințelor GDPR prin delegarea unor atribuții specifice către persoane desemnate în mod special, ambasadori „privacy”.  Acești ambasadori vor beneficia, mai întâi, de sesiuni adecvate de training personalizat, precum și de întâlniri de lucru periodice împreună cu DPO-ul desemnat. După asigurarea acestui suport, ambasadorii vor fi în măsură să acționeze ca un liant între zonele de business și DPO, dar și să gestioneze activități precum identificare de procese noi, raportare incidente de tip încălcare a securității datelor, sesizare de riscuri și cauze generatoare de reclamații sau solicitări recurente din partea clienților, angajaților sau a colaboratorilor.

Avantajele unei astfel de rețele de ambasadori sunt multiple: de la creșterea nivelului de conformitate prin descentralizarea monitorizării, la îmbunătățirea nivelului de înțelegere a cerințelor de conformitate prin demistificarea acestui subiect și prezentarea lui de către persoane ce lucrează zi de zi în zonele respective până la crearea unei imagini mai exacte și complete a fluxurilor de lucru ale organizației prin plasarea lor într-un context adecvat protecției datelor.

Implicarea ambasadorilor ar putea duce la ușurarea tranziției între teoretic și practic, cunoștințele lor putând, de exemplu, să ajute la ajustarea volumului de date utilizate în acord cu nevoile operaționale reale, ajustare de natură să aducă inclusiv beneficii tehnice și financiare (eliberarea spațiului de stocare și reducerea timpului de răspuns al sistemelor). Mai departe, prin utilizarea cunoștințelor specializate deprinse, ar putea să ajute în identificarea corectă și concretă a obiectivelor (scopurilor) de prelucrare, iar acest lucru ar duce, la rândul său, la înțelegerea propriei activități și a riscurilor asociate acesteia, favorizând comunicarea transparentă cu persoanele vizate, creșterea nivelului de încredere al acestora și prevenirea reclamațiilor. Însă toate activitățile amintite trebuie analizate și argumentate mai întâi din perspectiva zonelor utilizatoare de date, așa numitele zone de business, pentru a ne asigura că informația adusă în atenția specialiștilor în protecția datelor personale este una corectă, ce reflectă obiectivele și deschiderea spre schimbare a organizației. În absența acestei colaborări, recomandările specializate primite își pot pierde (măcar în parte) eficiența și aplicabilitatea.

4. Utilizarea de sisteme de verificare și măsurare periodică

Înțelegerea și monitorizarea contextului activităților de prelucrare nu sunt limitate doar la un dialog intern purtat între DPO și diferiți reprezentanți ai ariilor de business. Pentru a obține și a menține o imagine curentă, este necesară utilizarea unor metrici cuantificabili care să permită identificarea zonelor de risc și a proceselor ce necesită, cu prioritate, adaptare la cerințele stabilite de GDPR în sarcina Operatorilor de date.

Iată și câteva propuneri privind aceste sisteme de verificare:

• Monitorizarea solicitărilor primite din partea persoanelor vizate, în contextul exercitării drepturilor prevăzute de art. 15-22 GDPR; aceasta ar trebuie să aibă în vedere atât verificarea respectării termenului de răspuns, reglementat explicit, cât și a tendințelor acestor solicitări care pot arăta, cu un grad ridicat de exactitate, anumite zone ce necesită îmbunătățire.

De exemplu, multiple cereri de acces ce vizează explicarea scopurilor de prelucrare, sau cereri de opoziție inițiate în mod eronat, vizând încetarea unei activități de prelucrare bazată pe executarea unui contract aflat în desfășurare, pot indica faptul că nota de informare nu furnizează informațiile necesare într-un mod suficient de clar pentru persoanele vizate. De asemenea, solicitări repetate clarificate prin documentele de informare pot releva faptul că acestea nu sunt suficient de bine aduse la cunoștința persoanelor vizate (în mod periodic și nu numai la colectarea datelor, ca un exemplu de bună practică). Ambele aspecte semnificative atât din perspectiva juridică, cât și operațională, cu efect direct asupra gradului de satisfacție al clientelei, angajaților și/sau colaboratorilor.

• Monitorizarea incidentelor de tip încălcare a securității datelor cu caracter personal; o atare monitorizare nu prezintă relevanță doar din perspectiva respectării cerințelor legale de analiză, documentare internă și raportare, ci și pentru înțelegerea unor potențiale vulnerabilități de ordin tehnic sau operațional-uman.

Deși erorile umane nu pot fi eliminate în totalitate, repetarea aceluiași tip de încălcare a securității datelor (i.e. transmitere eronată a corespondenței pe email) poate indica nevoia de a crește nivelul de conștientizare sau implementarea de măsuri de control structural precum criptarea prin parolă a mesajelor email, accesarea corespondenței pe bază de credențiale personalizate asignate clientului, comunicarea pe bază de SFTP.

• Verificarea periodică a activității entităților ce prelucrează date în numele Operatorului, ca Persoane Împuternicite; în acest sens este util nu numai un control strict aplicat în etapa de verificare („due-diligence”) precontractuală, ci și periodic pentru a verifica, valida sau corecta prestarea de servicii efectuată.

Verificarea nu este relevantă doar pentru probarea exercitării controlului tipic unei relații Operator-Persoană Împuternicită, dar și pentru validarea respectării instrucțiunilor primite, clarificarea lor, acolo unde este cazul și transmiterea de instrucțiuni noi, pentru a asigura o utilizare a datelor personale conformă cu cerințele legale.

În acest caz, este necesară analiza întregului lanț de entități mandatate de Operator la prelucrarea de date în numele său, subcontractorii (sub-Împuterniciți) trebuind să fie supuși acelorași verificări ca furnizorul de servicii inițial (Persoana Împuternicită principală).

• Monitorizarea periodică a analizelor de risc și a factorilor de risc identificați de alte funcții de control intern sau alte arii (precum Conformitate, Legal, IT Security, Audit etc) pentru a înțelege factorii cauzatori și identifica factori comuni ce pot duce la riscuri structurale cu impact și în aria protecției datelor.

Din nou, o abordare insulară a protecției datelor, care ignoră interdependențe cu celelalte zone și funcții ale Operatorului nu poate duce decât la un program de protecție a datelor personale limitat și în final, din păcate, de o utilitate redusă.

Deși protecția datelor nu a fost, în fapt, niciodată un subiect nou, nivelul ridicat de atenție și noile rigori stabilite în ultimii ani nu au fost în toate cazurile internalizate complet la nivelul Operatorilor. Pentru acest lucru sunt necesare acțiuni continue, de reformare a proceselor de lucru existente și de atragere a stakeholderilor interni pentru a depăși rezistența la schimbare și a asigura actualitatea și relevanța programului de privacy deja implementat. Nu în ultimul rând, implicarea tuturor ariilor, în moduri diferențiate și adaptate nevoilor acestora este esențială și reflectă responsabilitatea pe care Operatorul trebuie să o aibă în privința activității de prelucrare date cu caracter personal.

Anca Vasilescu, Data Protection Officer ING Bank România

 
Secţiuni: Articole, Cyberlaw, Data protection, RNSJ, Selected, Studii | Toate secţiunile
Cuvinte cheie: , , , , , ,
Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

Lex Discipulo Laus
Gratuit pentru studenţi
Securitatea electronică este importantă pentru avocaţi
Mesaj de conştientizare susţinut de FORTINET
JURIDICE utilizează SmartBill
Concurs eseuri ZRVP

Lasă un răspuns

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.


.
PLATINUM Signature      

PLATINUM  ACADEMIC

GOLD                        

VIDEO   STANDARD