Ce mai freamăt, ce mai zbucium! Codrul clocoti de zgomot şi de arme şi de bucium (- GDPR)

Amintiri

În primele zile ale lunii aprilie 2016 eram la Lisabona la ISACA Global Leadership Summit. Subiectul „hot„ între participanți era „GDPR„. În pauze, foarte mulți se întrebau între ei: „Și, cum veți face? Care este situația la tine în țară?„. Nu știam nimic!

Despre subiectul „protecția datelor personale„ aveam cunoștințele necesare pentru ISO27001 sau audituri. Știam L677/2001, Ordinul avocatului poporului 52/2002, L506/2004 pentru comerțul electronic. Știam că realitatea din practică era diferită de ce se cerea. Întors în țară mă pun pe căutat și citit despre „GDPR„. Pe 14.04.2016 scriam cîteva rînduri pornind de la versiunea publică cu care s-a intrat la vot. Pe 25 mai 2016 se publică în jurnalul oficial versiunea finală.

Fapte

GDPR nu ar trebui să fie o surpriză. Așa după cum am mai scris, Regulamentul adaugă la Directiva 95/46/CE (clarifică mai ales drepturile). Altfel spus, Regulamentul consideră că cea mai mare parte din cerințe era pusă în practică de organizații începînd cu 1995 și nimeni nu pornește de la zero!

Legea 677/2001 are prevederi cu privire la „legitimitatea prelucrării„, „încheierea operațiunilor de prelucrare„, „reguli speciale privind prelucrarea datelor cu caracter personal„, „prelucrarea datelor cu caracter personal având funcție de identificare„, „prelucrarea datelor cu caracter personal privind starea de sănătate„, „prelucrarea datelor cu caracter personal referitoare la fapte
penale sau contravenții„, „drepturile persoanei vizate„, „confidențialitatea și securitatea prelucrărilor„. Toate se regăsesc în GDPR, de astă dată mai clar.

Operatorul este obligat să aplice măsurile tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, în special dacă prelucrarea respectivă comportă transmisii de date în cadrul unei rețele, precum și împotriva oricărei alte forme de prelucrare ilegală.
(2) Aceste măsuri trebuie să asigure, potrivit stadiului tehnicii utilizate în procesul de prelucrare și de costuri, un nivel de securitate adecvat în ceea ce privește riscurile pe care le reprezintă prelucrarea, precum și în ceea ce privește natura datelor care trebuie protejate.- L677/2001, Art.20

Avem și Ordinul Avocatului Poporului nr. 52 din 18 aprilie 2002 privind aprobarea Cerintelor minime de securitate a prelucrarilor de date cu caracter personal:

Operatorul desemneaza utilizatori autorizati pentru operatiile de colectare si introducere de date cu caracter personal intr-un sistem informational. Orice modificare a datelor cu caracter personal se poate face numai de catre utilizatori autorizati desemnati de operator. Operatorul va lua masuri pentru ca sistemul informational sa inregistreze cine a facut modificarea, data si ora modificarii. Pentru o mai buna administrare operatorul va lua masuri ca sistemul informational sa mentina datele sterse sau modificate.

Prevederi din 2001-2002 care se regăsesc acum și în GDPR…..

O piață plină de Casandre și ipocrizie

GDPR este prezentat acum ca un bau-bau. Se face „awareness„ într-o perioadă în care ar trebui să se discute mai degrabă de conformitatea specifică industriilor.

Cum respectarea L677/2001 s-a limitat (în cele mai multe situaţii) la notificare Autorității și la „prelucrăm datele în acord cu L 677/2001„, bineînțeles că acum este greu. Cînd te-ai „certificat ISO27001„ și în afară de o hîrtie pe care scrie „politică/procedură de clasificare a informațiilor„ nu ai altceva, este firesc să fie greu. Cînd evaluarea riscurilor are mai puțină tangență cu realitatea, bineînțeles că pare complicat. Cînd tehnic te-au interesat doar datele companiei nu și ale persoanelor, bineînțeles că este scump să pui în practică „măsuri tehnice„. În general, cînd în toţi anii ăștia nu ai făcut ce erai obligat să faci, zici că amenzile sînt exagerate.

26 mai 2018

La cum se prezintă astăzi lucrurile, cu 8 luni înainte de termenul limită, cred că cele mai multe firme nu vor respecta cerințele GDPR. Din motivele mai sus amintite la care mai adaug două: speranța (sau chiar credința unora) că se va amîna sau nu se vor da amenzi; dacă te „acoperi„ cu „hîrtii„ va fi suficient.

26 mai 2018 va fi ziua în care începe decontarea lucrurilor știute și nefăcute cu bună știinţă.

 

Anunțuri

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s