GDPR

You are here: Home \ GDPR

ESTI PREGATIT PENTRU GDPR?

25 MAI 2018

2018/05/25 00:00:00
AUDIT SI EVALUARE GDPR

GDPR reprezintă o schimbare fundamentală în legislaţia UE în ceea ce priveşte datele şi intimitatea personală.

Dupa perioada de tranzitie de 2 ani, acesta intra in vigoare la 25 mai 2018 si inlocuieste Directiva privind protectia datelor 95/46/CE.

Regulamentul General se aplica direct tuturor statelor membre, fara a fi nevoie de legislatie interna dedicata.

Vechea Directiva privind protectia datelor nu si-a atins in totalitate scopul, acesta fiind aplicata neuniform in cadrul Uniunii Europene, prin legi diferite de la stat la stat. Desi intentia a fost aceea de a proteja persoana fizica, mijloacele acesteia de a-si administra datele erau limitate si de multe ori nu existau. Sanctiunile mult prea blande au permis acumularea ineficienta de date si, drept consecinta, pierderea sau scurgerea acestora. S-a creat astfel un cadru legislativ nou, care a pus accentul pe persoana fizica si dreptul ei de a a-si administra si gestiona datele.

Noul regulament privind Protectia Datelor cu Caracter Personal (GDPR 679/2016 )

  • GDPR a adus imbunatatiri considerabile fata de vechea Directiva, impreuna cu o serie noua de prevederi. Astfel, se axeaza pe protectia datelor si a drepturilor persoanelor fizice si se bazeaza pe premisa ca toate persoanele fizice sunt indreptatite sa stie cine si unde le stocheaza datele personale si mai ales pentru ce sunt ele folosite. Acesta este un aspect pe care Directiva Europeana il prevede in forma actuala.
  • GDPR si-a extins spectrul teritorial, acum accentul punandu-se pe persoana vizata si nu pe locatia acesteia. Intelegem din aceasta ca o persoana careia i s-a adus un prejudiciu prin prisma datelor cu caracter personal, va putea beneficia de prevederile Regulamentului, indiferent de rezidenta lui.
  • Daca ne referim strict la protectia persoanei fizice si a datelor acesteiea, modificarile sunt pozitive. Asta insemnand ca se mizeaza pe transparenta, corectitudine si legitimitate. Datele colectate se reduc la strictul necesar, iar ele trebuie pastrate doar pana isi ating scopul. Operatorul datelor cu caracter personal trebuie sa se asigure ca acestea sunt tinute si prelucrate in conditii de maxima siguranta, prevenind astfel scurgerea sau distrugerea acestora.

Misiunea proiectelor si serviciilor noastre este de a dezvolta bune practici ce asigura transparenta, confidentialitatea, integritatea, disponibilitate si autenticitatea prelucrarii informatiilor cu caracter personal.

ETAPELE NECESARE AUDITARII SI EVALUARII PENTRU GDPR:

  • null

    Etapa 1

    Analizarea cerintelor legate de cartografierea datelor cu caracter personal

  • null

    Etapa 2

    Evaluarea sistemelor informatice hardware/software

  • null

    Etapa 3

    Auditarea si inventarierea datelor si a documentelor

  • null

    Etapa

    Identificarea bazei legale conform careia procesati datele cu caracter personal

  • null

    Etapa 5

    Evaluarea masurilor de securitate implementate

  • null

    Etapa 6

    Auditarea proceselor de prelucrare a datelor cu caracter personal

  • null

    Etapa 7

    Prezentarea rezultatelor auditului

Detalierea etapelor necesare evaluarii si auditarii GDPR:

Brese de securitate:

O scurgere de informatii poate duce la distrugerea, pierderea, alterarea sau accesarea de catre persoane neautorizate a datelor cu caracter personal.  Conform noului Regulament, sunteti obligati sa raportati in decursul a 72 de ore o bresa de securitate.

In caz de neconformitate amenzile prevazute de GDPR au crescut considerabil. Acestea sunt aplicate in cazul in care, datorita unei scurgeri de informatii, persoanei vizate i s-a cauzat un prejudiciu de ordin moral sau material. Operatorul de date poate fi amendat cu pana la 4% din cifra de afaceri sau pana la 20 de milioane de euro.

Pentru a va asigura ca nu va aflati in aceasta situatie se recomanda cu stringenta securizarea tuturor proceselor, documentelor si resurselor ce manipuleaza date cu caracter personal prin utilizarea sistemelor software.

Desemnarea unui responsabil cu protectia datelor este obligatorie din 25 mai 2018, raportat la dispoziţiile art. 37 – 39 din Regulamentul General privind Protecţia Datelor/ GDPR, în cazul în care operatorul sau persoana imputernicita de operator:

  • este o autoritate publica sau un organism public, cu excepţia instantelor în exercitarea functiei lor jurisdictionale;
  • desfasoara o activitate principala care conduce la realizarea unei monitorizari constante si sistematice pe scara larga a persoanelor;
  • desfaşoara o activitate principala care consta în prelucrarea pe scara larga de date sensibile (cum ar fi : date privind originea rasiala sau etnica, convingerile religioase, apartenenta sindicala, date genetice, biometrice, privind starea de sanatate) sau referitoare la condamnari penale şi infracţiuni.

Aceasta etapa de audit / evaluare este vitala deoarece va reflecta nivelul actual de securitate a instrumentelor de lucru (PC, laptop, imprimanta, server etc) si compatibilitatea acestora in vederea implementarii procesului de GDPR la intreg nivelul institutional.

Trebuie asigurat un nivel optim de dotare IT & C pentru gestionarea si monitorizarea optima a datelor cu caracter personal, a dinamicii acestora atat intre departamente cat si transmiterea acestora in exterior catre terti sau diversi furnizori.

Evaluarea  instrumentelor de lucru si auditarea mecanismelor de securitate informatica, ce vin in acord cu cerintele Directivei Europene, GDPR, nr 679/2016 se va face conform planurilor de audit, dintre activitatile obiectului de auditare enumeram ca exemplu:

  • Verificarea fiecarei statii de lucru din punct de vedere al licentelor de utilizare.
  • Existenta licentei de protectie antivirus, care sa asigure un prim nivel de protectie.
  • Nivelul de interconectare la serverele principale, modalitati de lucru
  • La nivel unitar de institutie/companie, existenta firewall si alte sisteme de securitate
  • Individualizarea statiilor de lucru cu user si parola, securizarea acestor date pe fiecare utilizator in parte
  • Este/nu este asigurata protectia domeniului de mail si a sistemelor de lucru pentru stergerea informatiilor din calculatoare
  • Securitatea IT (managementul activelor, gestionarea datelor personale, lucrul la distanta, controlul accesului, managementul userilor
  • Utilizarea serviciilor IT, masuri criptografice, securitatea echipamentelor,  operatiuni de securitate transferul de informatii, relatiile cu tertii, managementul incidentelor de securitate, colaborarea cu autoritatile etc).

Focusul in prima etapa este pe evaluarea vulnerabilitatilor, al impactului acestora si al probabilitatii de a se manifesta pentru a defini riscurile si astfel  pentru a gasi cea mai buna solutie de excludere, minimizare sau gestionare a acestor riscuri. Pentru asta este nevoie sa stiti:

  • ce date cu caracter personal detineti si unde sunt ele localizate;
  • de unde provin aceste date cu caracter personal si cine are acces la ele;
  • care sunt vulnerabilitatile sistemului de date si cum pot fi ele protejate;
  • cat timp sunt pastrate datele si cand pot fi sterse;
  • de unde pot fi accesate aceste date;
  • la ce sunt folosite;
  • suportul pe care sunt stocate datele;
  • sunt sau nu criptate;
  • baza legala pentru a detine astfel de date.

In alcatuirea inventarului documentelor si datelor nu este nevoie sa urmati un tipar anume, important este sa tineti cont de prevederile articolului 30 din Regulament. Aceasta procedura are scopul de a va ajuta in conformarea cu GDPR si de a va oferi o imagine de ansamblu asupra datelor cu caracter personal care le detineti.

Inventarierea se aplica pentru toate datele indiferent de natura lor. Aici vorbim despre angajati, voluntari, utilizatori de servicii, clienti, sponsori etc.

Pentru facilitarea procesului de conformare a companiilor si institutiilor la cerintele GDPR – respectiv la necesitatea de evidentiere si monitorizare a activitatilor de prelucrare a datelor cu caracter personal – conform art. 30 alin. 1 si 2 din Regulament, solutia software GDPR-AUDIT , ca instrument de lucru automatizat, va ofera:

  1. Monitorizare eficienta a prelucrarii datelor cu caracter personal
  2. Identificare prompta a vulnerabilitatilor si breselor de securitate
  3. Alertare cu privire la potentialele nereguli de prelucrare a datelor
  4. Alertare a potentialelor riscuri
  5. Nivele de acces diferite la informatiile colectate
  6. Monitorizarea operatiilor rulate de catre bazele de date

Primul pas pe care trebuie sa-l faca orice institutie sau companie privata care intra sub incidenta aplicabilitatii Regulamentului 679/2016 este sa se confere cadru de lucru pentru un audit de specialitate care sa identifice inclusiv acele persoane/departamente care prelucreaza informatii cu caracter personal.

De asemenea, se are in vedere identificarea solutiilor tehnice de lucru, optimizarea lor si completarea acestora pana cand se ajunge la un mediu de lucru optim si securizat in acest domeniu.

In faza a doua a procesului de implementare a Regulamentului General de Protectie a Datelor, se stabileste DPO – persoana responsabila pentru supravegherea buna si sigura a desfasurarii proceselor de lucru in acord cu cerintele Regulamentului. Aceasta persoana responsabila are nevoie de cursuri de specialitate si pregatire specifica domeniului.

Din punct de vedere tehnic, fiecare institutie publica sau privata va trebui sa se asigure ca au instrumentele de baza de lucru securizate, aici avand cateva exemple: solutie de protectie a calculatoarelor [antivirus], solutie de criptare a bazelor de date si stocarea lor pe servere dedicate, sistem informatic care monitorizeaza si genereaza alerte in cazul unor brese de Securitate.

Avand in vedere ca exista mai multe forme legale care permit procesarea datelor personale, trebuie identificata cea mai potrivita in functie de scop si intentie. Identificarea trebuie facuta inainte de a se incepe colectarea datelor si este necesar sa fie cea corecta, asta deoarece nu poate fi schimbata pe parcursul procesarii.

Regulamentul pune un accent mare pe consimtamantul persoanei. In cazul in care obtinerea acestuia este dificila sau imposibila, este necesar sa se identifice o baza legala pentru a continua procesarea datelor. Consimtamantul exprimat trebuie sa fie clar, concis si explicit. De asemenea, trebuie sa fie separat de sectiunea ”Termeni si conditii” si trebuie sa ii ofere celui vizat posibilitatea de a si-l retrage oricand.

Interesul legitim este cel mai la indemana si flexibil mod de a opera date cu caracter personal, dar asta nu inseamna ca este intotdeauna cel mai corect. Pentru a fi cuprins de cadrul legal, procesul de colectare si prelucare a datelor trebuie sa fie imperativ necesar. Daca se pot obtine aceleasi rezultate prin metode mai putin intruzive, se vor exploata primordial acestea. Intelegem astfel ca protejarea individului primeaza.

Cand vine vorba de categorii de date sensibile, trebuie intai identificata baza legala, conform articolului 6 din Regulament. Categoriile de date sensibile sunt acele date care, prin caracterul lor, pot aduce atingere integritatii sau libertatii  personale, cum ar fi: rasa, originea etnica, culoarea politica, religia, viata sexuala, orientarea sexuala, genetica etc. Toate conditiile de care trebuie sa tineti cont cand lucrati cu date sensibile se gasesc in articolul 9 din GDPR.

Determinarea conformitatii elementelor sistemului de management al securitatii datelor personale cu cerintele specificate in documentele de referinta (Reg. 679/ 2016, alte standarde sau alte documente normative aplicabile), in toate etapele realizarii serviciilor, stabilindu-se actiunile corective necesare pentru eliminarea neconformitatilor;

Determinarea eficacitatii sistemului de management al securitatii datelor personale ca si al documentatiei aferente privind realizarea obiectivelor stabilite;

Imbunatatirea sistemului de management al securitatii datelor personale al organizatiei auditate.

Pe parcursul auditului vor fi analizate si evaluate si urmatoarele categorii de cerinte:

  • Principii legate de prelucrarea datelor cu caracter personal
  • Legalitatea prelucrarii, organizarea securitatii informatiei dpdv GDPR
  • Legitimitatea prelucrarii
  • Relatia cu partile interesate dpdv GDPR
  • Riscurile GDPR identificate si planul de masuri de tratare
  • Procedurile si responsabilitati operationale
  • Securitatea personalului dpdv GDPR
  • Securitatea arhivei si securitatea fizica dpdv GDPR

Abaterile de la cerintele GDPR se consemneaza in raportul de audit.

Auditul se considera incheiat atunci cand raportul de audit a fost predat auditatului.

Urmarirea actiunilor corective – Responsabilitatea stabilirii actiunilor corective pentru eliminarea neconformitatilor identificate cu prilejul auditului, sau a cauzelor acestora, revine institutiei auditate. Responsabilitatea auditorului se limiteaza la identificarea neconformitatilor si recomandarea unor actiuni si corectii, pentru a fi inconformitate cu cerintele Regulamentului UE nr 679/2016, cu intrare in vigoare la data 25.05.2018

ATENTIE!!!

ATENTIE!!!

Nerespectarea GDPR atrage mai multe tipuri de sanctiuni, inclusiv amenzi de până la 20 de milioane de euro sau 4% din cifra de afaceri, oricare dintre acestea este mai mare.

Contactati-ne pentru detalii!

Daca aveti intrebari legate de noua legislatie sau doriti oferta personalizata va rugam sa ne contactati: