25 mai a trecut. Avem și o lege națională de transpunere a prevederilor Regulamentului General privind Protecția Datelor Personale: Legea 190/2018. Este drept că spre deosebire de legea din UK, care are aproape 400 de pagini, legea noastră are vreo 10…

Ce s-a mai întâmplat prin piață? Dacă până prin vara anului 2017 foarte puțini acordau atenție subiectului, dintr-o data, de prin septembrie același an, lumea a luat-o razna: prezentări de tot felul, cursuri nenumărate, ținute de oameni care au avut tangență cu subiectul protecției datelor cam câtă legătură au avut și cu sateliții geostaționari. Avem și „kituri„ care te scapă de orice griji, inclusiv pe mag. Toate aceste oferte ne arată un lucru: și cererea este diversificată, ca o „șaorma cu de toate„.

Realitatea practică este însă puțin diferită de ceea ce s-a recomandat și s-a ajuns a fi implementat prin unele organizații. Despre cele mai importante „mituri„ voi scrie în continuare.

1. Informarea persoanei vizate trebuie dovedită cu semnătura acesteia – FALS

Nicăieri în cuprinsul Regulamentului și nici în ghidurile WP 29 (actual EDPB – European Data Protection Board) nu există o astfel de cerință.  Art. 13 și 14 impun ce informații să îi fie oferite persoanei vizate (angajat, client, contractor etc). Atât. S-a ajuns, ca unele organizații, cu 200-300 de angajați să întocmească informări de cite 3-4 pagini și să îi pună pe angajați să le semneze. O fi luat cineva în calcul cât costă gestionarea unui astfel de proces? Când va apărea o lege care modifică ceva, se vor modifica din nou informările și angajații vor fi puși să le semneze?

Dar dacă se făcea o Informare care se păstra la departamentul Resurse Umane nu era suficient? Regulamentul pleacă de premisa bunei credințe a operatorului și nu trebuie să fie o corvoadă pentru acesta. Veți regăsi aceeași opinie și în articolul scris de avocatul dr. Andrei Săvescu, Managing Partner SĂVESCU & ASOCIAȚII, președinte al SOCIETĂȚII de ȘTIINȚE JURIDICE și publicată în vară în Revista Română de Protecția Datelor.

2. Înainte de a prelucra date personale avem nevoie de acordul persoanei – PARȚIAL ADEVĂRAT

Dacă prelucrarea datelor cu caracter personal nu are la bază executarea unui contract, îndeplinirea unei obligații legale, protejarea intereselor vitale, un interes public sau interesele legitime ale operatorului, abia acum vom putea invoca consimțământul persoanei vizate.

La Direcția de Finanțe Publice Locale, în luna septembrie, cu ocazia solicitării unui Certificat Fiscal mi s-a pus în față un Acord de prelucrare a datelor cu caracter personal.

3. Nu mai avem voie să facem marketing direct fără consimțământul persoanei – PARȚIAL ADEVĂRAT

GDPR nu are nicio prevedere care sa reglementeze marketingul direct. Regulile sunt în legislația speciala (Directiva 2002/58 (ePrivacy) transpusă prin Legea 506/2004; Directiva 2000/31 (eCommerce) transpusă prin Legea 356/2002) care se aplica prioritar, dar acolo unde legea speciala cere consimțământ, condițiile de validitate ale acestuia sunt cele din GDPR.

GDPR vizează toate comunicările comerciale, indiferent de modul in care acestea sunt realizate. Directiva ePrivacy vizează doar comunicările comerciale digitale (realizate  prin intermediul rețelelor electronice de comunicații), cum ar fi: telefon, fax, email, sms/mms, messenger etc. și nu se aplica marketing-ului poștal.

Este adevărat că efectuarea de comunicări comerciale prin poşta electronică este interzisă, cu excepţia cazului în care destinatarul şi-a exprimat în prealabil consimţământul expres pentru a primi asemenea comunicări (Legea 365/2002).

Dacă o persoană fizică sau juridică obţine în mod direct adresa de poştă electronică a unui client, cu ocazia vânzării către acesta a unui produs sau serviciu, persoana fizică sau juridică în cauză poate utiliza adresa respectivă, în scopul efectuării de comunicări comerciale referitoare la produse sau servicii similare pe care acea persoană le comercializează, cu condiţia de a oferi în mod clar şi expres clienţilor posibilitatea de a se opune printr-un mijloc simplu şi gratuit unei asemenea utilizări, atât la obţinerea adresei de poştă electronică, cât şi cu ocazia fiecărui mesaj, în cazul în care clientul nu s-a  opus iniţial. (Art. 12 alin. 2 Legea 506/2004)

4. Orice afacere are nevoie de un responsabil cu protecția datelor (DPO) – FALS

Art. 37 din GDPR este suficient de clar. Suplimentar față de acest articol este cel din Legea 190/2018 (Art. 4) care impune un astfel de rol atunci când se prelucrează identificatori naționali (de exemplu CNP) în interesul legitim al organizației.

5. Pot folosi oricând interesul legitim al organizației pentru prelucrarea datelor cu caracter personal – FALS

Interesul legitim poate fi folosit ca temei juridic al prelucrării datelor personale doar atunci când nu prevalează interesul legitim al persoanei vizate.

Interesul legitim trebuie deci să fie real și să corespundă unui obiectiv al organizației sau al unui terț (de exemplu monitorizez autovehiculele și pentru asta datele ajung și la furnizorul soluției). Altfel spus, ca urmare a prelucrării datelor, organizația, terțul sau societatea va avea un beneficiu real. Atingerea acelui obiectiv nu poate fi realizată prin alte mijloace sau prelucrând alte date. Au fost puse în practică măsuri de protecție astfel încât drepturile și libertățile persoanei vizate să nu fie afectate dacă se ating obiectivele organizației.

6. Am dezvoltat politici și proceduri deci sunt conform – FALS

Art. 5 alin 2 din GDPR impune operatorului demonstrarea principiilor prelucrării datelor cu caracter personal. Documentul oficial care face referire la acest subiect: WP 173 – Opinion 3/2010 on the principle of accountability prezintă o listă cu exemple de măsuri prin care se poate demonstra responsabilitatea (respectarea principiilor prelucrării).

Mai mult Art. 32 alin 2 precizează că trebuie să existe un proces de testare, apreciere și evaluare periodică a măsurilor tehnice și administrative.

Concluzii

Implementarea Regulamentului a pornit în multe situații greșit. Va dura ceva timp până când și organizațiile și „consultanții„ vor înțelege ce au de făcut nu pentru a obține o conformitate formală ci pentru a atinge această conformitate asigurând protecția datelor personale.

Adrian  Munteanu  este profesor universitar doctor în cadrul Facultății de Economie și Administrarea Afacerilor – Univ. Alexandru Ioan Cuza din  Iași, unde predă cursuri despre securitatea informațiilor, auditul sistemelor informaționale, guvernare și managementul serviciilor IT. Din  februarie 2017 este co-președintele filialei din România a IAPP (International Association of Privacy Professionals (https://iapp.org/about/chairs/knowledgenet)  și instructor pentru cursuri certificate IAPP.

Este  expert  ENISA (European  Union Agency for  Network and Information Security, 2014) în domeniul managementului riscurilor. De asemenea, este Certified Information Privacy Manager (CIPM, 2017), Computer Information System Auditor (CISA, 2006), Certified in Risk and Information Systems Control  (CRISC, 2010), COBIT Foundation Certificate (2009) , ITIL Foundation Certificate (2007).

Are o experiență de peste 10 ani în:
– proiecte de audit (internet banking, securitate IT, proiecte IT, proiecte finanțate prin fonduri UE);
– consultanță (continuitatea afacerii, analiză de impact, analiza  decalajelor, evaluarea maturității proceselor, evaluarea riscurilor, soluții tehnice de securitate – DLP, SIEM, endpoint etc);
– implementarea  de standarde și  bune practici de securitate  (ISO 27001, COBIT, ISO 20000/ITIL) instruire ITC (CISA, CIPM).

Poate fi contactat pe mail la adresa adrian.munteanu@ktb.ro