GDPR

GDPR în departamentul IT- Lista completă a măsurilor obligatorii de implementat

Legea privind protecția datelor cu caracter personal ce pune în aplicare Regulamentul General de Protecția Datelor (GDPR) produce efecte în rândul companiilor încă din 2018. România este al treilea cel mai amendat stat din UE  în funcție de numărul amenzilor aplicate. Conform unei analize Privacy Affairs, până la data de 31 martie 2020, Autoritatea Națională de Supraveghere (ANSPDCP) aplicase deja 26 de amenzi între 3.000 de euro și 150.000 de euro organizațiilor care nu au respectat legislația specifică.

În acest context, este imperios necesar ca departamentele IT să înțeleagă și să pună în aplicare corect procedurile ce se impun pentru a rămâne în conformitate cu prevederile privind GDPR.

În acest articol îți vom pune la dispoziție o listă completă cu măsurile pe care departamentul IT trebuie să le adopte pentru ca organizația să rămână în acord cu legislația specifică.

Vei afla despre:

  1. Considerente generale: ce este, cui și cum se aplică legea privind protecția datelor personale;
  2. GDPR în departamentul IT.

Ce este GDPR

GDPR este acronimul de la General Data Protection Regulation, așadar un Regulament European transpus în legislația autohtonă în 2018 prin Legea 363/2018 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal.

Cui se aplică GDPR

Toate companiile din statele membre care colectează și procesează date cu caracter personal pe teritoriul UE trebuie să respecte această lege. Datele cu caracter personal se referă la: nume, adresă, date din cartea de identitate, venit, statut cultural, adresa IP (Internet Protocol),datele deținute de medici sau spitale.

Cum se aplică GDPR

În esență, GDPR presupune că nicio organizație nu mai poate colecta date cu caracter personal fără acordul explicit al persoanei în cauză. De aceea, procesul de conformare la GDPR presupune stabilirea și implementarea unor proceduri în toate departamentele companiei în care se lucrează cu date personale : IT, HR, marketing sau vânzări.

GDPR în Departamentul IT – principalele probleme

GDPR

Problema 1- securitatea cibernetică

Implementarea GDPR în departamentul IT ridică în principal problema menținerii securității cibernetice. Potrivit legii, orice incident de securitate IT care duce la pierderea,distrugerea sau deteriorarea accidentală a bazelor de date cu caracter personal trebuie notificată atât Autorității competente cât și persoanelor ale căror date au fost compromise.

Problema 2- modul în care se face efectiv prelucrarea datelor prin mijloace automate

Conformarea la GDPR în IT presupune ca prelucrarea datelor cu caracter personal prin mijloace automate să se facă într-un mod “adecvat” și după o evaluare a riscurilor.

Aceasta înseamnă că, din punct de vedere IT, organizația trebuie să controleze:

  1. Accesul la echipamente;
  2. Suportul de date. Nimeni neautorizat nu trebuie să poată citi, copia, modifica sau elimina datele cu caracter personal.
  3. Stocarea datelor. Nimeni neautorizat nu trebuie să poată introduce, inspecta,modifica sau șterge date din bazele de date cu caracter personal.
  4. Sistemele de prelucrare automată a datelor;
  5. Accesul la date. Angajații ar trebui să aibă acces doar la datele cu caracter personal pentru care au autorizare.
  6. Introducerea datelor. Sistemele IT ar trebui să permită identificarea celui care a introdus datele, momentului când s-au introdus datele și modificărilor efectuate.
  7. Transportul datelor și a suporturilor de date. În timpul transportării, nimeni neautorizat nu ar trebui să poată citi, copia, modifica sau șterge informații.
  8. Recuperarea sistemelor instalate după o întrerupere, oricare ar fi motivul acesteia.
  9. Funcţionarea, fiabilitatea şi integritatea sistemelor .

GDPR în departamentul IT- Checklist complet

Pentru ca cerințele de mai sus să fie îndeplinite, departamentul IT ar trebui să se asigure că a luat următoarele măsuri:

A. Măsuri privind securitatea cibernetică

  • Toate device-uri  sunt sigure

Acest lucru înseamnă că:

  1. Rulează cele mai noi versiuni de software disponibile;
  2. Rulează cele mai noi versiuni de browser;
  3. S-au făcut îmbunătățiri ale setărilor implicite cu care vin aplicațiile precum Google, WordPress, etc;
  4. Sunt protejate de software antivirus;
  5. Au instalate software de criptare;
  6. Sunt protejate de accesul neautorizat prin parole puternice;
  7. Dispozitivele mobile sunt protejate de coduri de acces puternice și criptare.
  • Angajații companiei știu cum să-și protejeze datele

Nu porni de la premisa că toți angajații știu cum să protejeze datele companiei și conștientizează unde și cum pot apărea pericole.

Asigură-te așadar că aceștia:

  • Își blochează computerele atunci când pleacă din fața monitorului chiar și pentru câteva minute.
  • Au parole sigure.
  • Nu îşi stochează parolele în browser.
  • Au proceduri clare privind raportarea vulnerabilităților de sistem cu care se confruntă. Doar cunoscând toate problemele IT, poți rămâne în conformitate cu GDPR.
  • Au un plan de reacție în cazul unor incidente legate de încălcarea securității bazelor de date.
  • Folosesc cu precădere OneDrive în locul serviciilor de public cloud precum Dropbox sau GoogleDrive, care ar putea să nu fie conforme cu GDPR. 
  • Foloseşti metode sigure de păstrare a bazelor de date

Toate bazele de date trebuie  păstrate în siguranţă, ceea ce presupune că trebuie să asiguri inclusiv back-up şi data recovery.

Recomandăm folosirea serviciilor de cloud computing.

  • Wifi-ul nu este partajat

Munca în spații comune precum hub-urile sau nevoia de a oferi wifi gratuit oaspeților companiei te pot face nesigur din punct de vedere cibernetic. Or, acest lucru poate afecta grav din punct de vedere al GDPR, după cum am explicat anterior. Spre exemplu, ai putea constata că unii utilizatori ai rețelei tale de wifi au adunat diverse informații din rețeaua ta sau au permis altora să le acceseze.

  • Ai verificat furnizorii de servicii IT

Verifică ce standarde de control al politicilor privind GDPR folosesc  furnizorii de servicii IT (cloud, SaaS etc) cu care lucrezi. Aceștia  stochează sau prelucrează date cu caracter personal în numele tău.

B. Măsuri de prelucrare a bazelor de date în conformitate cu GDPR

  •  Controlezi accesul la bazele de date

Acțiunile administrative ar trebui permise doar câtorva dintre angajați, pentru a reduce riscul ca infractorii cibernetici să obțină controlul asupra rețelei.

Controlează accesul la date în funcție de necesități, pornind de la utilizator, dispozitiv și rețea.

  • Foloseşti metode sigure de transport al bazelor de date

Datele cu caracter personal și cele sensibile trebuie transferate în siguranță.

Dacă le transferi prin e-mail, USB-uri sau hardware extern, trebuie să le criptezi. În cazul în care le transferi prin internet, prin servicii tip Microsoft OneDrive, verifică dacă partajarea s-a făcut cu cine ți-ai propus. Pentru transmiterea prin reţele wireless publice, foloseşte o reţea virtuală privată (VPN).

Nu omite niciun pas prezentat pentru a fi sigur că rămâi în conformitate cu prevederile GDPR.