757 citiri

Nicoleta Pâslaru

Member of Bucharest and New York Bar
Practice Areas: IT & Data Protection, Corporate & Commercial Law, Private
International Law, Real Estate Law
Phone: +(40) 0720 069 879
E-mail: nicoleta.paslaru@nplaw.ro
www.nplaw.ro


Data Protection Experts 2018

Înregistrarea video

Transcriptul

Vlad Gordan: Bună ziua.

Aşa cum se poate observa, nu sunt doamna avocat Nicoleta Pâslaru, sunt colegul ei, Vlad Gordan, mă aflu aici pentru că doamna avocat nu a putut participa la această conferinţă, fiind nevoită să plece din ţară.

Îmi revine plăcerea şi responsabilitatea să vorbesc despre prezentarea la care am lucrat amândoi şi anume personal data breach.

În cadrul acestei prezentări, am hotărât să abordăm cel mai de temut moment care poate să apară în cadrul societăţii dumneavoastră, şi anume momentul în care se încalcă securitatea datelor pe care le-aţi prelucrat. Întrebarea esențială la care trebuie să răspundeţi fiecare dintre voi este când se va întâmpla şi nu dacă se va întâmpla.

Presupun că marea majoritate dintre dumneavoastră aveţi angajaţi. Există posibilitatea ca un angajat să piardă un stick sau un CD cu date personale sau să acceseze un link prin care să se fure aceste date cu caracter personal.

Ce facem atunci când se va întâmpla acest lucru? Încercăm să prezentăm paşii de implementat când o să avem de-a face cu acest incident de securitate. Primul pas pe care îl avem de implementat este să notificăm Autoritatea de Supraveghere în termen de cel mult 72 de ore de la data la care am luat cunoştinţă de încălcare. Acest lucru este prevăzut în art. 33 din Regulament. În art. 34 din Regulament este prevăzut că trebuie să notificăm persoana vizată atunci când există posibilitatea să se creeze un risc ridicat pentru drepturile şi libertăţile sale.

Notificarea pe care o trimitem Autorităţii sau persoanei vizate trebuie să cuprindă în primul rând datele de contact ale DPO-ului, responsabilul cu protecţia datelor, sau al unui punct de contact din cadrul societăţii dumneavoastră, de unde se pot obţine mai multe informaţii. Trebuie să mai conţină şi date despre caracterul încălcării securităţii datelor prelucrate şi numărul aproximativ al persoanelor vizate în cauză, şi, nu în ultimul rând, trebuie să cuprindă consecinţele probabile ale încălcării, dar şi măsurile luate sau propuse a fi luate pentru a remedia această problemă a încălcării securităţii datelor.

Aşa cum vorbeam şi mai sus, nu este întotdeauna obligatoriu să notificăm persoana vizată de prelucrare; atunci să vedem şi cazurile în care nu trebuie să facem această notificare, conform Regulamentului. Primul caz este atunci când operatorul a implementat măsuri de protecţie tehnice şi organizatorice adecvate, măsuri prin care să se asigure că datele cu caracter personal nu mai pot fi înţelese de nimeni. Acest lucru se face prin criptare. Al doilea caz, atunci când operatorul a luat măsuri ulterioare, prin care se asigură că riscul persoanei vizate de încălcarea securităţii nu se mai poate materializa, iar ultimul caz este reprezentat de momentul când notificarea necesită un efort disproporţionat, astfel se va efectua o informare publică. Aici pot să vă dau şi un exemplu. Acum două luni o bancă din Australia a pierdut datele a peste 20 de milioane de clienţi. Vă dați seama ce ar însemna să notificăm fiecare persoană şi să-i spunem că şi-a pierdut datele cu caracter personal.

În continuare, vă prezint paşii de urmat, pe care ar trebui să-i implementați atunci când avem de-a face cu un incident de securitate.

Prima măsură sau primul pas pe care ar trebui să-l implementăm este de a avea o echipă gata pregătită să acţioneze în momentul când avem de-a face cu această încălcare.

Al doilea pas este de a avea o listă cu posibile soluţii în cazul încălcării securităţii datelor pe care le-am prelucrat.

A treia măsură este de a avea la dispoziţie specialiştii IT.

A patra măsură este de a avea pregătite modele de notificări adresate Autorităţii de Supraveghere şi persoanei vizate.

A cincea măsură pe care o avem de implementat, este să avem elaborate o serie de instrucţiuni de comunicare între angajaţi şi companie, prin care acest incident  de securitate să se raporteze cât mai repede, iar ultima măsură de implementat ar trebui să fie un registru pe care ar trebui să-l întocmim şi să conţină, în primul rând datele de contact ale DPO-ului şi, bineînţeles, o listă cu soluţiile propuse pentru rezolvarea incidentelor de securitate.

Acesta reprezintă un model de notificare pentru Autoritate, o să urmeze și un model de notificare pentru persoana vizată. Cum puteţi observa, acesta trebuie să aibă un limbaj clar şi simplu, dar în acelaşi timp să respecte cerinţele impuse de către Regulament.

Vă mai propunem modele prin care să aveți o evidență clară și precisă a incidentelor de securitate, și nu în ultimul rând, un plan de acţiune în cadrul companiei dumneavoastră. În încheierea prezentării, colega mea, dna. avocat Nicoleta Pâslaru, va prezenta şi partea pozitivă a implementării Regulamentului.

Nicoleta Pâslaru: Bună ziua, mă bucur să mă aflu alături de dumneavoastră, chiar și la distanță.

Sunt convinsă că deja sunteți familiarizați cu ameninţările ce planează asupra entităților care nu respectă prevederile Regulamentului, cum ar fi aplicarea unei amenzi de până la 20 milioane de euro sau 4% din cifra de afaceri.

Din acest motiv, eu aș dori să prezint unul dintre aspectele pozitive privind implementarea GDPR, anume fidelizarea clienţilor existenţi şi, de ce nu, atragerea de clienți noi. În acest sens, mă gândesc la exemplele a trei companii renumite din Marea Britanie, un mare lanț de magazine, o bancă și o companie aeriană, care au știut să implementeze Regulamentul, astfel încât clienţii să fie și mai mult atraşi de serviciile lor.

Într-unul dintre cazuri, cel al băncii, s-a aplicat o politică educațională, prin care clienţii au cunoscut care sunt beneficiile aplicării Regulamentului, aceştia fiind extrem de încântaţi de acest program de training, ca și rezultat, fiind constatarea unei rate de citire a mail-urilor de notificare, crescută cu o cincime, în timp ce rata de ștergere a mail-urilor înainte de a fi citite, a scăzut la jumătate.

Totodată, acea companie aeriană despre care aminteam anterior, a ales să-și prezinte politica de confidenţialitate sub forma unui film, de briefing de securitate a unui zbor. Vă puteți imagina că toți clienții au fost încântați de o asemenea abordare.

Prin urmare, ceea ce aş vrea să subliniez este că GDPR oferă  operatorilor şi împuterniciților posibilitatea de a analiza încă o dată abordarea cu privire la protecţia datelor persoanelor vizate, precum și de a analiza relația existentă cu clienții actuali și de a îmbunătății experienţele create împreună.

Vă mulțumesc pentru atenție și vă doresc o zi plăcută în continuare!

Vlad Gordan: Mulțumesc și eu!