Pe 25 mai, în anul 2018, va intra în vigoare Regulamentul General privind Protecția Datelor (GDPR). Acesta presupune că afacerea dvs. și orice altă companie din lume ar trebui să aibă deja un răspuns bun la întrebarea următoare: "Cum ne va afecta GDPR?" De fapt, s-ar putea spune că în prezent vă învârtiți în jurul pericolului dacă răspunsul este de tipul "Nu știu", "nu ne afectează pentru că nu suntem o companie europeană" sau "GDPR este irelevant pentru noi deoarece suntem localizați în America/Australia/India etc.".

Principalul pericol cu care vă puteți confrunta este o amendă majoră pentru nerespectarea GDPR, ce constituie un set de reguli care reglementează confidențialitatea și securitatea datelor personale puse în aplicare de către Comisia Europeană, dar care se poate aplica unor companii situate în afara Uniunea Europeană (UE).

În acest articol vom sublinia de ce GDPR ar putea avea implicații serioase pentru organizația dvs., începând cu câteva cuvinte despre acoperirea la scară largă, cu mult peste granițele UE. În finalul articolului, vor fi enumerate câteva link-uri către resurse care vă pot ajuta să vă pregătiți pentru GDPR.

O altă bătaie de cap cu privire la penalizările din partea UE a aterizat în Statele Unite?

GDPR se aplică organizației dvs., indiferent de țara în care vă aflați sau unde lucrați, cu excepția cazului în care nu colectați și nu preluați date personale extrase de pe piața europeană.

Cu alte cuvinte, oarecum vă aflați în afara încurcăturii, dacă nu oferiți bunuri sau servicii și nu urmăriți sau creați profiluri ale cetățenilor europeni. Totuși, dacă sunteți angajați în oricare dintre aceste activități, atunci cel mai probabil va trebui să vă conformați regulilor impuse de GDPR.

Pentru o mai mare claritate și pentru accentuarea ideilor principale, vom rezuma. Firma dvs. trebuie probabil să respecte GDPR dacă:

• Monitorizați comportamentul persoanelor vizate care se află pe teritoriul Uniunii Europene sau
• Aveți sediul în afara UE, dar furnizați servicii sau bunuri către UE (inclusiv servicii gratuite) sau
• Aveți o "unitate" în UE, indiferent de locul în care procesați datele personale (de exemplu, prelucrarea bazată pe cloud este efectuată în afara UE pentru o companie cu sediul în UE, fiind supusă astfel regulilor impuse de GDPR).

În mod clar, aceasta este o extindere considerabilă a sferei de protecție a datelor prevăzute de legile europene anterioare. Acest regulament face referire la oameni care trăiesc în UE, nu doar la cetățenii UE. În plus, GDPR extinde răspunderea dincolo de directiva actuală pentru a include procesatorii de date, precum și controlorii de date.

(Există trei termeni-cheie: subiecții, controlorii de date și procesatorii de date. De exemplu, o companie este un controlor de date în ceea ce privește clienții sau angajații despre care deține informații personale. În acest context, clienții și angajații sunt subiecții: persoanele fizice ale căror date cu caracter personal sunt prelucrate de către controlorul de date. Un exemplu de procesator de date ar fi constituit dintr-o companie a cărei operațiuni de salarizare sunt externalizate de angajator în calitatea sa de controlor de date.)

11 aspecte cheie pe care GDPR le implică

1. Mărește așteptările persoanelor fizice privind confidențialitatea datelor și obligația organizației de a respecta practicile stabilite cu privire la securitate cibernetică.
2. Stabilește amenzi mari pentru neconformitate. O încălcare flagrantă a GDPR, precum o securitate slabă a datelor, ce conduce la expunerea publică a informațiilor personale sensibile, ar putea avea drept rezultat o amendă în milioane sau chiar miliarde de dolari (există două niveluri considerate pentru încălcări, iar cel superior este supus amenzilor de peste 20 de milioane de euro sau 4% din venitul net al companiei).
3. Impune cerințe detaliate și exigente de notificare a breșelor. Atât autoritățile, cât și clienții afectați trebuie să fie notificați "fără întârzieri nejustificate și, dacă este posibil, nu mai târziu de 72 de ore de la constatarea breșelor". Companiile afectate din America care sunt obișnuite cu raportarea privind breșele de date de pe acel teritoriu ar putea fi nevoite să-și adapteze politicile și procedurile de notificare privind încălcarea legislației, pentru a evita încălcarea regulilor presupuse de GDPR.
4. Solicită multor organizații să numească un ofițer de protecție a datelor (DPO). Va trebui să desemnați un DPO dacă activitățile dvs. de bază, fie ca un controlor de date sau un procesor de date, implică "monitorizarea frecventă și sistematică a persoanelor vizate la scară largă". Pentru firmele care au deja un responsabil șef de confidențialitate, ar putea să i se atribuie rolul de DPO.
5. Înăsprește interpretarea termenului de consimțământ. Persoanele vizate trebuie să confirme consimțământul pentru utilizarea datelor personale prin intermediul unei declarații clare, specifice, informate și lipsite de ambiguitate sau printr-o acțiune clară afirmativă. Cu alte cuvinte: tăcerea, cutiile pre-bifate sau inactivitatea nu mai constituie un consimțământ.
6. Prezintă o imagine largă asupra a ceea ce constituie datele personale, care pot cuprinde module cookie, adrese IP și alte date de urmărire.
7. Codifică dreptul de a fi uitat, astfel încât persoanele fizice pot cere organizației dvs. ștergerea datelor personale. Organizațiile care nu au încă un proces de acceptare a acestor solicitări vor trebui să lucreze în acest sens.
8. Oferă persoanelor vizate dreptul de a primi date într-un format comun și de a solicita ca datele lor să fie transferate unui alt controlor. Organizațiile care nu au încă un proces de acceptare a acestor solicitări vor trebui să ia măsuri în acest sens.
9. Clarifică faptul că operatorii de date răspund de acțiunile procesatorilor de date pe care îi aleg. (Relația dintre controlor-procesator ar trebui să fie guvernată de un contract care detaliază tipul de date implicate, scopul, utilizarea, reținerea, eliminarea și măsurile de protecție preventive).
10. Crește cerințele de consimțământ parental pentru copiii sub 16 ani.
11. Îmbunătățește "confidențialitatea implicită" ca o practică standard necesară pentru toate activitățile care implică date protejate cu caracter personal. De exemplu, în domeniul dezvoltării aplicațiilor, GDPR implică faptul că "experții în securitate și confidențialitate ar trebui să lucreze împreună cu echipa de marketing pentru a concepe cerințele de afaceri și planul de dezvoltare pentru orice aplicație nouă pentru a se asigura că respectă noul regulament".

Costul și calendarul GDPR

Așa cum v-ați putea aștepta, când vine vorba de pregătirea pentru GDPR, unele organizații sunt departe de realizarea obiectivelor față de altele. În luna ianuarie a acestui an, PwC a intervievat 200 de companii americane cu mai mult de 500 de angajați și a constatat că 92% dintre ei consideră că respectarea GDPR este o prioritate majoră în agendă în ceea ce privește confidențialitatea și securitatea datelor în 2017. Mai mult de jumătate au declarat că aceasta este prioritatea principală, în timp ce 38% au declarat că se numără printre prioritățile lor de top. Desigur, conformitatea nu va fi ieftină, iar 77% din oamenii care au participat la studiul PwC au declarat că organizația lor ar intenționa să cheltuiască 1 milion de dolari sau chiar mai mult pentru GDPR.

În timp ce ați putea aștepta ca afacerile europene să fie în focurile pregătirii GDPR, un studiu recent realizat de către IDC, realizat în numele ESET, a constatat că un sfert (25%) dintre cele 700 de companii europene chestionate au recunoscut că nu aveau nicio idee despre GDPR. În plus, mai mult de jumătate (52%) dintre acestea nu știau ce impact va avea GDPR asupra organizațiilor lor.

Securitate și notificare în cadrul GDPR

Pentru a exersa puțin mai mult implicațiile GDPR în ceea ce privește securitatea datelor personale pe care organizația dvs. le gestionează, cred că merită să menționăm în cele din urmă secțiunile corespunzătoare. De fapt, acestea stabilesc un punct de referință pe care companiile unde se gestionează date despre persoanele din UE vor trebui să le respecte pentru a se apăra împotriva afirmațiilor că sunt "procesate în încălcarea prezentului regulament" și, prin urmare, ar putea fi supuse amenzilor.

În secțiunea 83 citim că "... procesatorul sau controlorul ar trebui să evalueze riscurile inerente procesării și să pună în aplicare măsuri de atenuare a acestor riscuri, cum ar fi criptarea. Măsurile respective ar trebui să asigure un nivel adecvat de securitate, inclusiv confidențialitatea, ținând cont de stadiul actual al tehnicii și de costurile de punere în aplicare în ceea ce privește riscurile și natura datelor cu caracter personal care trebuie protejate ".

Cu alte cuvinte, există foarte puține specificații despre cum ar trebui să abordați securizarea datelor, în afară de referința legată de criptare; Dar există o afirmație clară că trebuie să efectuați o evaluare a riscurilor. (Sperăm că până acum fiecare organizație a făcut o evaluare a riscului cu privire la securitatea cibernetică si o menține actuală, dar încă mai sunt întâlnite cazuri legate de amenzi de la HIPAA în SUA, ca urmare a incapacității de a se conforma cu legislația.)

Secțiunea 83 prezintă riscurile ce trebuie luate în considerare: "În evaluarea riscului de securitate a datelor, trebuie luate în considerare riscurile prezentate de prelucrarea datelor cu caracter personal, cum ar fi distrugerea accidentală sau ilegală, pierderea, modificarea, divulgarea neautorizată sau accesul la datele personale transmise, stocate sau prelucrate în alt mod, care pot conduce, în special, la daune fizice, materiale sau morale."

Secțiunea 84 continuă să discute despre securitatea datelor "cu grad ridicat de risc", o distincție ce va fi abordată într-un articol separat (există o discuție continuă cu privire la modul în care va fi făcută această distincție).

Nimic nu scoate la lumină poziția organizatorică a securității cibernetice ca în cazul breșelor de securitate și acestea sunt abordate în secțiunea 85. Aceasta prevede că atunci când operatorul de date "constată că a avut loc o breșă de date cu caracter personal, operatorul ar trebui să notifice autoritatea de supraveghere cu privire la breșă de date cu caracter personal dacă este posibil, nu mai târziu de 72 de ore după ce a luat la cunoștință cu privire la aceasta".

Interesant este faptul că GDPR permite administratorului de date să evite să notifice autoritățile cu privire la breșă dacă este "în măsură să demonstreze, în conformitate cu principiul responsabilității, că breșa ce a implicat date cu caracter personal este puțin probabil să ducă la riscul drepturilor și libertăților persoanelor fizice".

GDPR specifică termenii de notificare a breșelor de date în secțiunea 86, unde se prevede că operatorii de date trebuie să "comunice persoanei vizate o breșă ce a implicat date cu caracter personal, fără întârzieri nejustificate, atunci când această breșă este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanei fizice pentru a-i permite să ia măsurile de precauție necesare".

Unele aspecte ale notificării sunt explicate, precum ar fi "descrierea naturii breșei datelor cu caracter personal, precum și a recomandărilor pentru persoana fizică în cauză de a atenua efectele adverse potențiale". Pentru o prezentare generală asupra unora dintre implicațiile acestor reguli de notificare , inclusiv despre o posibilă creștere a notificărilor, citiți acest articol pe blogul IAPP.

Mai multe resurse GDPR

În mod evident, există multe de pregătit, mai ales dacă ideea de a face față legislației europene privind protecția datelor este nouă pentru tine. Iată câteva resurse suplimentare:

• ESET are mai multe ghiduri legate de GDPR disponibile pentru descărcare de pe această pagină.
• Există o colecție tot mai mare de articole despre diferite aspecte ale GDPR pe blogul ESET.
• Pentru cei interesați de confidențialitate si securitate, care doresc să citească GDPR pentru ei înșiși, veți găsi aici un link către versiunea finala în format PDF.

În cele din urmă, în ceea ce privește consilierea juridică, ar trebui să consultați un avocat competent cu privire la aspectele legate de interpretarea și respectarea GDPR.

Pentru mai multe informații despre Regulamentul General privind Protecția Datelor, ESET are o pagină dedicată pentru a vă asigura că, atunci când vine timpul, aveți totul pregătit.

STEPHEN COBB
CORESPONDENT INDEPENDENT