Daniela Cretu
Fiecare dintre noi a avut la un moment dat impresia că este supravegheat la locul de muncă. Vedem peste tot camere de luat vederi care ne monitorizează toate acțiunile, inclusiv la cantina sau în vestiare fără ca firma să ne fi întrebat dacă suntem de acord sau nu. Aceste situații pot fi calificate drept abuzuri care se pedepsesc drastic (sute de mii sau milioane de lei amenzi) dacă nu sunt facute cu respectarea clauzelor noului Regulament 697/2016. La aceste penalități se pot adăuga si despăgubiri pe care le angajașii le pot cere de la angajatori.
O altă practică foarte extinsă este telemarketingul agresiv. Am fost și suntem sunați frecvent, sau primim mesaje (mail sau sms) pentru a lua parte la diverse “evenimente”. În general este vorba despre donații sau achiziții de bunuri și servicii și sau sondaje. Pe măsura ce aceste apeluri se înmulțesc, ele devin agasante, frustrante. Orice încercare de a vă șterge din bazele lor de date este aproape imposibilă.
Noul regulament 697/2016 reglementează utilizarea acestor baze de date. În 2016, o societate româneasca de email marketing și externalizarea transmiterii de buletine informative, a fost penalizată de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, pentru că avea lipsă “justificarea consimțământului destinatarilor pentru a primi corespondență electronică”. În noul Regulament, o astfel de încălcare ar avea repercusiuni foarte grave, ducând până la suspendarea licenței de funcționare.
Un sistem de calcul/software cu o slabă soluție de securitate, a obligat gigantul Home Depot la plata a peste 179 mil. USD pe amenzi și despăgubiri și este posibil ca la acestea să se adauge și alte sume. Acest lucru a fost determinat de un atac malware asupra POS-urilor companiei în 2014. La doi ani si jumatate, procesele sunt departe de a fi stinse .
Cele câteva exemple de mai sus au un numitor comun și anume modul în care sunt gestionate și securizate datele personale. Am pregătit, cu exemplele de mai sus, trecerea la un subiect foarte important și anume Regulamentul (UE) 679/2016 privind protecția datelor personale.
În aprilie 2016, Parlamentul European a adoptat noul Regulament General de Protecție a Datelor Personale nr 679/2016, care înlocuiește Directiva 95/46/CE (Regulamentul general privind protectia datelor). Având în vedere diferențele majore între cele două acte normative, respectiv măsurile pe care trebuie să le ia fiecare societate, organizație, agenție (inclusiv instituțiile publice și guvernamentale) pentru a se conforma, s-a decis intrarea în vigoare a Regulamentului începând cu 28 mai 2018, termen care a oferit celor vizați o perioadă de 2 ani, pentru a se putea pregăti și alinia la noile cerințe.
Au mai rămas mai puțin de 9 luni până la data de 28 mai 2018. Firmele multinaționale au înțeles complexitatea Regulamentului și riscurile financiare care decurg din neconformare și de aceea, sunt destul de avansate în procesul de conștientizare, inventariere/auditare a proceselor interne, a modului în care informația este colectată, analizată, stocată și transferată.
Prin comparație, majoritatea firmelor românești nici nu au auzit de Regulamentul 697/2016, nu au citit și nu au ințeles ce este de făcut, cu atât mai puțin să se fi apucat de auditare/inventariere pentru a descoperi care sunt schimbările pe care trebuie să le facă, ce proceduri trebuie modificate, care sunt documentele care trebuie refăcute, cum se pastrează și securizează accesul la datele societății.
Mai mult, firmele nu cunosc repercusiunile neconformării. Cu alte cuvinte, antreprenorii români nu văd și nu realizează pericolul care îi pândește și nici amploarea schimbărilor care trebuie făcute.
Mai trebuie spus că pentru numărul total de companii, care trebuie să se conformeze, până la data de 28 mai 2018, există un număr foarte mic de consultanți (firme sau independenți) care pot să ofere suport și servicii de implementare. Așadar, perioada rămasă este foarte scurtă pentru ca toate firmele românești să fie conforme cu Regulamentul 679/2016.
1. Extinderea considerabilă a categoriilor de informații care sunt acum considerate a fi date personale
Până acum înțelegeam prin date personale acele informații de “bun simț” – nume, data nașterii, adresa, telefon, poate adresa email.
Acum, noul regulament include în lista datelor personale zeci de tipuri de informații – de la adresa IP a calculatorului sau IBAN până la amprente digitale, ADN sau apartenența la asociații de orice gen.
2. Întărirea drepturilor existente și acordarea de noi drepturi cetățenilor europeni asupra datelor lor personale
Până acum presupuneam că dreptul cetățeanului căruia îi solicitam cu nonșalanță adresa de email, nume, funcție sau adresa de livrare a mărfurilor se rezuma la a fi de acord implicit, prin includerea acestei solicitări în josul paginii contractului scrisă în termeni complicați și cu litere mici.
Acum, în afară de accesul la datele sale, cetățeanul (client sau angajat) poate cere și obține ștergerea datelor sale din evidențele companiei. Sau poate cere ca informațiile despre sine să-i fie puse la dispoziție fără întârziere într-un format accesibil lui. Mai sunt multe alte drepturi, dar deocamdată e important de înțeles că toate aceste drepturi ale cetățenilor se traduc automat în obligații ale organizațiilor.
3. Sporirea răspunderii organizațiilor
Până acum răspunderea operatorilor de date personale era o noțiune destul de vagă și era relativ ușor să fie evitată sau, măcar, minimalizată.
Acum, răspunderea se exprimă clar printr-un număr de condiții pe care trebuie să le îndeplinească și chiar anumite măsuri ce trebuie luate și documentate de către toate organizațiile ce colectează și procesează datele personale ale cetățenilor Uniunii Europene.
4. Înăsprirea sancțiunilor
Până acum nerespectarea cerințelor de protecție a datelor personale conducea la amenzi anemice și sporadice. Multe companii, când erau sancționate, preferau să plătească amenda și să continue netulburate același mod de a face lucrurile.
Acum, amenzile ce pot ajunge până la 20 milioane de Euro sau 4% din cifra de afaceri globală anuală au sporit preocuparile firmelor multinaționale cum sunt Google, Facebook, Amazon, ca să cităm doar câtiva dintre marii colectori de date personale.
5. Introducerea răspunderii comune în cazul parteneriatelor
Până acum se menționa doar eticheta de “operator de date personale” care, în general, era atribuită unor firme de dimensiuni considerabile care colectează și procesează date personale.
Acum există două categorii:
controlorii (cei care decid ce date personale, cum și în ce scop sunt necesare a fi colectate și respectiv procesate)
procesatorii (practic agenți ai controlorilor, deci care aplică pur și simplu condițiile acestora).
În orice caz răspunderea e comună, deci controlorul va fi răspunzător chiar dacă numai procesatorul a greșit.
Penalitățile pleacă de la avertismente și pot ajunge, cum menționam anterior până la amenzi de 4% din cifra de afaceri globală anuală. Faptul ca se discută de cifră de afaceri globală a determinat marile corporații multinaționale și organizații internaționale să ia foarte în serios această temă a protecției datelor personale.
Pe lângă aceste penalități, trebuie obligatoriu de luat în considerare și posibilele despăgubiri care pot fi cerute de către persoanele care se consideră afectate. În aceste cazuri, despăgubirile pot ajunge să fie mult mai mari decât penalitățile.
Pentru ca o societate să fie conformă cu normele si cerințele Regulamentului, până la 28 mai 2018, trebuie să treacă prin următoarele etape:
Etapa de conștientizare - În această etapă, toți angajații societății vor lua la cunoștință despre conținutul Regulamentului, cerințele acestuia și riscurile pentru firmă în caz de neconformare cu clauzele Regulamentului. Un accent deosebit se va pune pe pregătirea solidă a angajaților aflați în poziții de conducere și care trebuie să controloze respectarea Regulamentului (administratori ai societăților, directorii generali și executivi, departamentul de resurse umane, șefi ai departamentelor informatice);
Etapa de auditare - Analiza și trecerea in revistă a situației prezente a societății, pentru a putea determina diferențele dintre modul de operare al Companiei și cerințele Regulamentului și care sunt zonele în care trebuie să se intervină;
Etapa de actualizare - Modificarea proceselor și a documentației curente și elaborarea de noi documente interne, proceduri, procese acolo unde acestea lipsesc;
Etapa de implementare - Punerea în practică a tuturor modificărilor realizate la etapa anterioară .
Procesul de mai sus, pentru aducerea societății la stadiul de conformare cu cerințele Regulamentului, presupune un efort multidisciplinar concentrat pe minim 4 zone din cadrul societății:
Zona operațională - (procese, proceduri, Business Process Management);
Zona aplicațiilor și sistemelor informatice (IT) - cuprinde sistemele informatice utilizate, cu accent pe modul de securizare a datelor și limitarea accesului. Este o componentă extrem de complexă și necesită o atenție deosebită pentru continuarea activității organizației în ansamblu;
Zona documentară - se referă la partea contractuală, Guvernanță Corporativă, contracte de muncă, aspecte juridice;
Zona de resurse umane. Contractele de muncă și reflectarea fidelă în clauzele contractuale a realităților firmei. Modul de păstrare, administrare și securizare a datelor. În anumite situații va fi necesară inființarea poziției de Responsabil cu Protecția Datelor Personale.
Iată un scurt material video cu câteva lucuri importante pe care ar trebui să le știi despre Regulamentul (UE) 679/2016
Am sa va raspund succint:
1. Documentele pe care "clientul nu le-ar vrea distruse" ar trebui sa se afle oricum in posesia sa - ii apartin de drept, chiar daca dvs considerati ca e util sa le pastrati si dvs o copie (presupunand ca originalul este la client).
2. Dreptul de a fi uitat (mai ales in relatie cu ANAF si alte institutii publice, cu cerinte bazate pe reglementari specifice) poate fi "restrictionat" de organizatia (firma, ONG, institutie publica) DACA exista baza legala suficienta (conform acestui Regulament).
3. In ceea ce priveste pragmatismul autoritatilor de reglementare (de aceasta data autoritati europene), va pot spune ca Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal din Romania (ca si in celelalte state membre ale UE) va avea ca atributie incepand din 25 mai 2018 (citez) sa "ofere consiliere, în conformitate cu dreptul intern, parlamentului național, guvernului și altor instituții și organisme cu privire la măsurile legislative și administrative referitoare la protecția drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea". Este de asteptat ca prin aceasta consiliere se va reusi reducerea eventualelor discrepante dintre acest regulament UE si legislatia nationala.