Care sunt cele mai des întâlnite greșeli în neglijarea protecției datelor personale

Care sunt cele mai des întâlnite greșeli în neglijarea protecției datelor personale și ce efecte au - de la amenzi la clienți pierduți și reputație pierdută.

Sunt Tudor Galoș, antreprenor cu experiență de șase ani, șase ani în care am construit un business de consultanță boutique, lucrând cu peste 200 de clienți din Europa, Statele Unite, Marea Britanie și Orient. Înainte de a fi antreprenor am lucrat peste 14 ani în corporație, ca director de marketing. Am prins boom-ul dot com din 2000, am navigat prin criza din 2008-2009 și am crescut business-uri și inițiative despre care lumea spunea că nu pot fi crescute. Cumva, noi românii ne remarcăm printr-un pesimism incurabil și nu știm să apreciem ce avem – de exemplu cea mai bună situație economică pe care România a avut-o vreodată. Cu toate neajunsurile, legile proaste, autorități slab pregătite, pile, sinecuri, cod fiscal ce se schimbă mai des ca Guvernul, suntem în cel mai bun context economic în care România s-a aflat vreodată – cu tot cu „criza” (sau ce o fi) ce stă să bată la ușă.

Este momentul să prindem puțin curaj și să ne creștem business-urile. Să ne avântăm pe piețe noi (învățând de la polonezii care iată, investesc masiv în România – peste 1400 de firme poloneze activează în România), să inovăm, să atragem clienți, să stabilim parteneriate. Însă pentru asta nu este destul să avem entuziasm și deschidere, trebuie ca fundația business-ului pe care fiecare dintre noi îl crește să fie solidă.

Spaima firmelor mici: due diligence.

Că vrei să vinzi firma, că vrei o investiție, că vrei un parteneriat, că încerci să atragi un client mare de tot căruia să îi oferi servicii – o dată în viață vei trece prin ceea ce se numește due diligence, sau „due-dil” cum mai este alintat (printre dinți). Că este făcut chiar de către cumpărător, investitor, partener, client sau de către un auditor specializat contractat de către unul din aceștia, este mai puțin important. Important este că este complex și de obicei se analizează toate aspectele afacerii: bonitate, potențial dar și riscuri. La zona de riscuri, cel mai greu cântărește partea de conformitate a business-ului cu diversele legi și regulamente. Cum se respectă codul muncii, codul fiscal (ce afectează toate organizațiile), diversele legislații specifice domeniului de activitate, dacă acesta este reglementat și, bineînțeles, cum se respectă GDPR.

Am fost odată chemați să oferim consultanță de conformitate la un client căruia valoarea estimată a business-ului îi fusese dată în jos cu 200.000 EUR fiindcă nu făcuse nimic pe partea de conformitate la GDPR iar prelucrările făcute de acesta încălcau grosolan prevederile de bază ale regulamentului (baze de date cumpărate aiurea care erau spamate cu mesaje de marketing, numere de telefon pe care se suna în prostie, lipsa celor mai elementare procese de protecție a datelor etc). La o altă companie, auditorul a notat în raportul de due diligence: „contractul de achiziție ar trebui să includă o clauză care să permită preluarea de către foștii proprietari a oricăror riscuri financiare generate de neconformitatea la GDPR”. Pe scurt, aceștia vindeau firma cu niște milioane de dolari dar riscau să le vină niște facturi puțin mai mari.

De fiecare dată când vă gândiți la cât de scumpă este conformitatea cu diverse regulamente precum GDPR, vă spun cu certitudine că neconformitatea costă mult mai mult. Haideți totuși să vedem cum reducem câteva din riscuri, crescând valoarea afacerii, evitând niște greșeli de bază.

Greșeala #1: Nu știu ce prelucrez, unde, când, cum

Această chestie este vecină cu analfabetismul funcțional. Nu știu deci nu pot fi acuzat de nimic. Să nu îți cunoști fluxurile de date personale și prelucrările de date personale înseamnă să nu îți cunoști de fapt business-ul. Marea majoritate a prelucrărilor de date făcute în firmă implică prelucrări de date personale. Nu le cunoști = nu îți cunoști business-ul. S-ar putea ca nu neconformitatea să îți omoare business-ul, ci nepăsarea – la un moment dat corabia se scufundă dacă nu știi ce o face să meargă înainte.

În primul rând trebuie realizată harta prelucrărilor de date. Sună greoi, dar odată ce pui mâna și începi să desenezi ce date, de la cine și prin ce sunt luate lucrurile se simplifică. Să vă dau un exemplu: orice firmă funcționează cu angajați și cu furnizori de PSI/SSM și medicina muncii, precum și cu REVISAL. Ce date sunt preluate de la angajat? Cum – pe hârtie, pe email, prin site, prin WhatsApp (nu e bine pe WhatsApp, să nu ziceți că nu v-am zis)? Cum sunt transmise datele către PSI/SSM? Dar către medicina muncii? Cum stochez datele? Cine are acces la REVISAL?

Odată ce am realizat partea de desenare, stăm pe ea și ne întrebăm? Ce alte date îmi scapă? Ia să întreb și pe alți colegi, consultanți etc. Apoi încep să pun întrebările cu adevărat faine: dar de ce facem acest lucru în acest mod? Poate fi simplificat? Poate fi digitalizat? Cum știu că lucrez cu ultimele versiuni de documente, contracte, anexe, adeverințe, etc? Cum știu că datele sunt corecte? Și ușor, ușor ne îndreptăm spre zona de guvernanță a datelor, dar despre asta vorbim într-o postare ulterioară.

Greșeala #2: Merge și-așa, oameni suntem, ce mi se poate întâmpla?

Am cunoscut odată un administrator IT care mi se lăuda că nu și-a updatat serverul Linux niciodată, atât de stabil era. De fapt serverul fusese updatat, de către un hacker, ce nu dorea ca altcineva să îi hack-uiască „captura”. Cam atât despre „mie nu mi se poate întâmpla”.
Este o greșeală teribilă pe care foarte multe firme mici o fac astăzi, de a desconsidera securitatea IT. Lucrează cu email-uri pe Yahoo, transferă date pe WhatsApp, lucrează cu calculatoare cu sisteme de operare sau aplicații piratate, servere făcute din componente de PC și așa mai departe. De ce fac asta? Fiindcă spun „suntem prea mici să fim luați în țintă de către hackeri”. Tocmai fiindcă sunt mici sunt luați în țintă – un studiu al ENISA (organismul de cybersecurity al Uniunii Europene) indică faptul că atacurile pe lanțurile de aprovizionare ale marilor companii a fost al doilea vector de atac cibernetic în 2021. Pe scurt, atacuri ale furnizorilor, ale furnizorilor furnizorilor și tot așa. Se compromite un furnizor ce furnizează servicii unui alt furnizor al unei companii mari, apoi furnizorul, apoi compania. Și dintr-o dată cel care a căzut primul victimă se trezește cu niște facturi de despăgubire (capitolul „Indeminification” din contractul pe care l-a semnat ca primarul) ce îi închid firma.

Atacurile de cybersecurity închid firme. Ne-a bătut odată la ușă un startup căruia niște hackeri îi criptaseră baza de date și back-up-urile. Efectiv nu mai avea ce face, în afară de a plăti amenda sau de a considera datele pierdute. Plata amenzii înseamnă posibila sponsorizare a teroriștilor și implicit o discuție caldă sub reflector la DIICOT, deci date pierdute, adică business compromis și amendă GDPR. Amândouă au afectat puternic cashflow-ul companiei și încrederea investitorilor.

Un alt client a suferit în urma unui atac de „factură schimbată”. Un hacker asculta tot traficul de email-uri, a interceptat o factură, a schimbat bancă, IBAN și a dat și destule motive pentru aceste schimbări încât victima să nu bănuiască nimic. Câteva sute de mii de EUR mai târziu și vizite la DIICOT (sponsorizarea teroriștilor, remember?), banii au fost recuperați cu greu. Din nou, „mie nu mi se poate întâmpla”. Ba da. Protecția datelor înseamnă protecția mediilor digitale și fizice (da, hârtiile se pot fura și ele, o companie a luat amendă destul de mare pe GDPR fiindcă i-au fost furate bibliorafturile cu dosarele de personal) pentru a asigura viitorul firmei.

Greșeala #3: Am un dosar GDPR făcut de un băiat mișto, stă în biblioraft

„Tudor, să nu crezi că nu am făcut nimic pe GDPR, am avut un băiat ce a făcut un dosar”. De prea multe ori am auzit chestia asta ce m-a convins că nu se făcuse de fapt nimic pe zona de conformitate la GDPR. Conformitatea cu un regulament precum GDPR înseamnă o schimbare de paradigmă, înseamnă să îți cunoști foarte bine business-ul și prelucrările, să înțelegi ce riscuri există față de persoanele ale căror date le prelucrezi, să înțelegi că totul se bazează de fapt pe cunoaștere și respect, nu pe politici, proceduri, anexe și dosare. „Dosarul” GDPR este o colecție de anexe, contracte, politici și proceduri pe care nimeni nu le citește. Conformitatea cu GDPR înseamnă că toți cei care prelucrează date personale știu exact ce trebuie să facă și fac ce trebuie să facă, nu fac șunturi. Când se fac șunturi, se iau amenzi.

În primul rând, ca să înțelegi ce trebuie să faci ca să îndeplinești cerințele de conformitate cu GDPR, trebuie să știi ce date prelucrezi, când, cum și de ce. Odată ce știi, identifici toate riscurile față de persoanele vizate – ce se poate întâmpla dacă tu continui să prelucrezi datele așa cum le prelucrezi (orice prelucrare implică riscuri, deci dacă îmi spui „niciun risc” îmi este clar că nu ai înțeles prelucrarea). Odată ce știi riscurile, identifici măsuri (tehnice și organizaționale) de atenuare a riscurilor. Eliminarea riscului înseamnă oprirea prelucrării – drept urmare, riscurile nu pot fi decât atenuate. Măsurile acestea sunt menite să atenueze riscurile până la un nivel acceptabil (de exemplu puțin probabil să vină un tsunami să măture arhiva fizică pe care o ții la etajul 3, dar este mai probabil să se spargă o țeavă care să ducă la o inundație ce poate distruge documente ce conțin date personale, așa că poate mutăm documentele de lângă țevi).

Abia după ce știi riscurile, măsurile, faci și documentația – politici, proceduri și documente menite să implementeze măsurile. Toată lumea apoi trebuie instruită ca să știe EXACT ce poate și ce nu poate să facă cu datele. Ca să nu facă „șunturi”. Fiindcă șunturile duc la amenzi.

Greșeala #4: Amenzile sunt mici, mă „înțeleg” eu cu autoritatea

Pe scurt, dacă vin la mine, le bag eu o „șpagă” și ne înțeleg. Incredibil însă am auzit și astfel de mentalități. De obicei cei care gândesc așa nu prea își prețuiesc libertatea fiindcă corupția se pedepsește cu închisoare. Da, poate că știm cu toții corupți care scapă, însă această corupție „mică” se pedepsește instant. Ca să nu spun de faptul că cei de la Autoritatea Națională de Supraveghere a Prelucrărilor de Date cu Caracter Personal (ANSPDCP) sunt complet independenți. Nu raportează niciunei instituții, au președinte numit de Senat iar legea 129/2018 le dă niște prerogative interesante:

  • Pot să discute cu oricine din firma controlată
  • Pot să verifice orice incintă, orice echipament (da, și cele personale)
  • Pot să pună sigilii și să ridice echipamente (da, insist, și pe cele personale)
  • Pot să ceară orice fel de documente iar dacă nu le primesc, pot da amenzi de până la 3000 de lei pe zi (fără limite de zile, până primesc ce cer)

Nu ai ce să te înțelegi, dacă ești controlat trebuie să fii deschis, transparent, să dai tot ce ți se cere și să recunoști dacă îți dai seama că ai greșit undeva. Aici contează enorm de mult să înțelegi ce riscuri ai, cum le adresezi, ce prelucrări faci, cum le faci, ce măsuri de atenuare ai implementat. Ultimele amenzi arată un interes crescut al autorității pe zona de măsuri de atenuare a riscurilor.

Greșeala #5: Îmi supraveghez angajații să nu mă păcălească

Am lăsat această greșeală la final deși aș putea să încep cu ea. Suferim de spionită, în special după ce am fost victimele unui sistem de spionaj intern atâția ani. Trebuie să știm ce fac angajații, ce fac în timpul liber, dacă nu ne trădează, dacă nu se cuplează între ei, dacă nu fură, dacă nu fac șmecherii, dacă nu muncesc. Și atunci suntem tentați să montăm camere peste tot, microfoane, aplicații de urmărire pe telefoane, pe laptop-uri, GPS-uri pe mașini.

Articolul 5 din legea 190/2018 spune așa:

În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența;

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Să traduc: dacă îți urmărești angajatul cu camere (nu cu cele obligatorii de securitate, implementate conform legii 333/2003), GPS, aplicații de supraveghere, dacă îi verifici mesajele automat cu tehnologii de tip DLP (Data-Loss Prevention) șamd, trebuie să spui ce scop ai, trebuie să demonstrezi că alte metode mai puțin intruzive nu și-au dovedit anterior eficiența, să demonstrezi că încălcarea vieții private este temeinic justificată, să consulți reprezentanții angajaților și să nu stochezi datele mai mult de 30 de zile (cei cu GPS-ul de obicei uită asta). A, da, și să informezi angajații ÎNAINTE de a da drumul la tehnologii.

De obicei companiile aduc în discuție temeiul interesului legitim al companiei de a-și proteja bunurile, angajații, vizitatorii și clienții însă managerii folosesc informațiile pentru a vedea cine stă prea mult la țigară, pe ce site-uri stau angajații, pe unde se plimbă angajații cu mașinile firmei, ce discută cu soțiile/soții. Niciuna din cele de mai sus nu intră la „protecția bunurilor, a angajaților, a vizitatorilor sau a clienților”. Trebuie obligatoriu făcută o analiză de risc formală de tip DPIA – Data Protection Impact Assessment pentru a identifica ce riscuri există asupra persoanelor vizate și pentru a se adopta acele măsuri care atenuează riscurile.

Supravegherea angajaților, dincolo de faptul că poate încălca drepturile omului și GDPR, creează o atmosferă tensionată și de neîncredere în firmă. Lucrurile trebuie abordate cu tact, sensibil și cu multă empatie. Lucrând cu mulți clienți, am reușit să identificăm măsuri alternative care să asigure și eficiența angajaților dar și securitatea organizației. Și care într-un final să ducă la un mediu de lucru mișto.

Concluzie

Sunt multe greșeli care se fac în zona de conformitate la GDPR, pe acestea însă le-am întâlnit noi cel mai des. Sunt multe altele, bineînțeles, însă calea cea mai simplă de evitare a lor este urmărirea conceptului „ce ție nu-ți place, altuia nu-i face”. Aș zice că este citatul care definește GDPR, dincolo de respectarea oamenilor și a drepturilor lor.

Voi ce credeți – sunt și alte greșeli notabile?

Tudor Galos

Tudor este consultant în protecția datelor având o experiență de peste 20 de ani în business. De șase ani conduce cabinetul de consultanță Tudor Galoș Consulting, lucrând cu o echipă care adresează peste 200 de clienți din Europa, Statele Unite, Marea Britanie și Orientul Mijlociu. Are o certificare europeană de Data Protection Officer obținută la European Center for Privacy and Cybersecurity din cadrul Maastricht University – Faculty of Law, este autorul unui curs DPO acreditat la Ministerul Muncii și Solidarității Sociale și a două cursuri online de GDPR cu peste 15.000 de participanți. Este speaker la evenimente internaționale unde prezintă soluții ce adresează cele mai noi provocări de privacy din domeniile Big Data, Inteligență Artificială, Cloud Computing, Blockchain.