Cu toții suntem aware că trăim într-o eră în care conceptele de „viață privată” sau „date personale” își pierd din însemnătate pe zi ce trece și îndrăznesc să adaug că sunt în pericol de a-și pierde din esența pentru care au fost gândite. Lucru care nu se întâmplă de ieri, de azi. Nu, acest trend a început odată cu apariția internetului și continuă până în prezent. Social Media a insuflat tinerilor în special această mentalitate că „e mișto să check-in oriunde te-ai afla” sau că „trebuie să postez ca să anunț pe toată lumea ce fac acum”.
Lucrul ăsta este atât de greșit și nociv on so many levels. Să nu credeți că în trecut eu am știut sau am conștientizat acest lucru. Not one bit. Și eu mă fac vinovată de această gândire, pentru că în timpul facultății nu existai dacă nu aveai Facebook și dacă nu dădeai check-in la orice event/pub/club pe care îl frecventai. Pe modelul: picture or it did not happened.
M-am lăsat influențată mult prea ușor de acest val din Social Media care trebuie să recunosc că mi-a controlat de multe ori dispoziția, dar și imaginea pe care o aveam despre mine însămi. Documentarea despre acest subiect și experiența din diferite domenii în care am activat m-au făcut să realizez că validarea pe care o căutam de la niște străini de pe internet nu făcea decât să scoată la suprafață multe frustrări și o parte din mine pe care nu o recunoșteam că fiind eu. Mai mult decât atât, de care nu eram mândră.
Mi se pare dezolant că am ajuns să vorbim despre protejarea datelor personale sau păstrarea unei vieți private departe de Social Media și internet ca și când am vorbi despre un bun de lux. De cele mai multe ori unreachable sau de domeniul fantasticului.
În acest moment puterea companiilor tech stă în prelucrarea datelor noastre personale. Cu alte cuvinte, arma acestui secol este de fapt o bază gigantică de date personale care este sau nu folosită împotriva noastră (depinde pe cine întrebați). Ce fac aceste companii cu datele noastre personale? De ce este oare nevoie de GDPR și ce înseamnă el? Țin cont toate aceste companii de aceste reguli/legi? Ce se întâmplă dacă nu fac acest lucru?
Atât de multe întrebări și atât de puțin timp pentru a răspunde la ele. Însă, lucky us, îl avem pe Bogdan Pușcaș, un data protection officer care a acceptat acest interviu deosebit de important unde ne aduce informații foarte valoroase pentru noi toți. Bogdan vine cu câteva explicații clare și relevante despre ceea ce înseamnă GDPR, cum ne putem proteja datele personale, care sunt miturile din spatele acestor legi, dar și multe alte lucruri.
Iată în interviul de mai jos toate informațiile.
Care este motivul pentru care ai ales cariera de Data Protection Officer? Ce te-a atras la acest domeniu?
Responsabilul cu protecția datelor este, cu siguranță, una dintre „meseriile viitorului”, fiind recent introdusă în organigrama multor companii din România. Dintre motivele care m-au determinat să aleg o specializare în protecția datelor cu caracter personal, pot evidenția faptul că m-a interesat acest domeniu, pe care îl văd ca fiind captivant, dinamic, provocator și cu perspectivă reală. Cu siguranță în viitor va cunoaște o creștere semnificativă.
Cât de bine crezi că înțeleg românii conceptul de GDPR? Și cât de relevant crezi că este pentru ei în viața de zi cu zi?
În România, Regulamentul privind protecția datelor s-a impus în memoria colectivă ca fiind cel care prevede aplicarea unor amenzi neegalate de nicio altă lege, la nivel mondial.
Atât persoanele juridice, cât și persoanele fizice din România, în calitatea lor de operatori de date cu caracter personal, sunt provocați să investească și să dobândească cultura generală a responsabilității asupra confidențialității datelor. Personal, am încredere că pentru în anii ce vor urma, va crește relevanța și importanța protecției datelor cu caracter personal în România.
Care sunt cele mai comune greșeli pe care le fac oamenii în general când vine vorba să își protejeze datele personale în mediul online?
Printre cele mai comune greșeli pot enumera următoarele:
Utilizatorii nu folosesc eficient securizarea conturilor, aleg parole nepotrivite și fac greșeli elementare, care ar putea avea drept consecință pierderea controlului asupra datelor personale;
Utilizatorii nu folosesc soluții care să împiedice aplicațiile să urmărească excesiv dispozitivele mobile;
În cazul documentelor cu caracter personal, oamenii păstrează doar varianta virtuală, nu și o copie fizică a acestor documente;
Atașamentele pe care unii utilizatori le trimit prin e-mail nu sunt criptate; odată ce s-a pierdut o informație sau un document în online, nu mai există cale de întoarcere;
Dau curs înșelătoriilor din mediul online: oferă accesul la contul bancar sau la alte informații/date personale.
Care sunt pașii pe care trebuie să îi urmăm pentru a ne asigura că ne protejăm datele personale?
În primul rând trebuie să ne informăm, să fim atenți și să ne asigurăm că înțelegem de ce și cum se procesează datele noastre cu caracter personal. În al doilea rând, trebuie să avem în vedere găsirea unei soluții de securitate (este important să ne protejăm telefonul sau tableta cu parole și softuri de criptare, iar în cazul pierderii sau a furtului, aplicațiile anti-theft ne pot ajuta să restricționăm accesul la informațiile personale și fișierele salvate pe dispozitiv). Totodată, conexiunea printr-un VPN (virtual private network) este securizată, astfel că ne poate proteja de eventualele pericole în ceea ce privește preluarea abuzivă a datelor personale).
O atenție sporită trebuie acordată serviciilor de geolocaţie. Smartphone-urile, aplicațiile și serviciile web marchează în mod frecvent poziția noastră în timp. Ca regulă, nu ar trebui să lăsăm terții să colecteze informații despre noi fără să știm despre ce fel de informații e vorba și cum sunt colectate.
Cum ne dăm seama că ne este încălcată protecția datelor? Și ce am putea face în acest caz?
Încălcarea securității datelor reprezintă o accesare neautorizată a unor date cu caracter personal, din interior sau exterior, asupra confidențialității datelor; încălcarea poate avea consecințe grave pentru persoana vizată, spre exemplu: pot consta în furtul de identitate, șantaj, pierderea controlului asupra datelor; așadar se pot cauza daune materiale sau morale.
În cazul în care considerați că drepturile dumneavoastră în materie de protecție a datelor au fost încălcate, puteți adresa o plângere direct Autorității Naționale de Supraveghere a Datelor cu Caracter Personal. O altă posibilitate ar fi să intentați o acțiune în justiție (dreptul la despăgubiri) împotriva companiei sau organizației care v-a încălcat drepturile.
Cât de important este să citim sau să fim aware de Termenii și Condițiile unei platforme atunci când spunem că suntem de acord?
Termenii și Condițiile unei platforme reprezintă o metodă de siguranță, este o informare și o avertizare de care avem nevoie în calitate de utilizatori. De ce este importantă? Pentru că previne abuzurile, stabilește drepturile de autor, stabilește legea aplicabilă și modul de soluționare a eventualelor litigii, reprezentând un contract virtual între părți (companie și clienți), stabilind limitele în care se desfășoară tranzacția, drepturile și obligațiile părților.
Cu toții știm că este tentant să „închidem” Termenii și Condițiile, să dăm „accept” fără a citi conținutul acestora, însă este important să parcurgem documentul pentru a ști la ce să ne așteptăm de la respectiva companie. Cu cât informația este mai transparentă și mai clară, cu atât vor exista mai puține neînțelegeri, reclamații sau litigii.
Care sunt miturile despre GDPR pe care le auzi mereu și ai vrea să le demontezi?
În rândurile de mai jos, voi reda o serie de mituri despre GDPR:
GDPR nu se aplică firmelor mici. Nu este adevărat, Regulamentul GDPR se aplică oricărei firme care prelucrează date cu caracter personal, indiferent de obiectul de activitate sau de dimensiune; pot fi amendate inclusiv persoanele fizice, astfel în practică, există deja spețe în care au fost aplicate amenzi unor persoane fizice care nu au respectat normele legislației privind protecția datelor cu caracter personal.
GDPR se aplică doar pe online. Este un mit, deoarece toate firmele trebuie să se conformeze normelor legale în materia protecției datelor cu caracter personal, indiferent dacă prelucrează date în online sau offline.
GDPR înseamnă consimțământ. Un alt mit – consimțământul fiind doar unul dintre temeiurile legale pentru prelucrarea datelor cu caracter personal. În România, GDPR a pătruns rapid printr-o avalanșă de consimțăminte, lansată de operatori și împuterniciții acestora, cu scopul de a obține cu celeritate conformitatea cu noile reglementări legislative.
GDPR = securitate IT. Este un mit, deoarece, deși securitatea IT reprezintă o parte importantă în cadrul procesului de implementare și conformare la rigorile GDPR, în mod obligatoriu, se vor implementa o serie de măsuri tehnice și organizatorice adecvate, se va întocmi documentația specifică fiecărei organizații, se vor semna contracte, se vor respecta obligațiile în raport cu persoanele fizice vizate etc.
Crezi că legea GDPR este luată în serios în România? (atât de autorități cât și de oamenii de rând).
În data de 25 mai a.c. aniversăm trei ani de la intrarea în vigoare a Regulamentului European 2016/679 (cunoscut de noi toți sub numele de GDPR) în România. Din păcate, atât la nivel european, cât și la nivelul țării noastre, nu s-a folosit cu succes perioada de grație de doi ani de zile pentru a lansa campanii de educație pentru persoanele vizate și operatorii de date cu caracter personal.
Cât privește seriozitatea de care dau dovadă autoritățile din România, răspunsul îl putem afla raportându-ne la numărul redus de DPO (Data Protection Officer) notificați Autorității Naționale de Supraveghere a Datelor cu Caracter Personal. Astfel, din datele furnizate de Autoritate, putem constata faptul că doar 2000 de instituții publice (dintr-un total de aproximativ 20.000) au numit un responsabil de date cu caracter personal, rezultă un grad de conformare de doar 10% în privința respectării obligațiilor conform articolului 37 din Regulament.
Oamenii de rând trebuie să înțeleagă faptul că, în calitatea lor de operatori de date – când desfășoară activități profesionale sau comerciale pot fi amendate pentru nerespectarea Regulamentului privind protecția datelor.
Care sunt consecințele încălcării legii GDPR?
În România, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) are în vedere modalitatea în care persoanele respectă prevederile Regulamentului privind protecția datelor cu caracter personal.
GDPR prevede următoarele amenzi:
Până la 10 milioane euro sau 2% din cifra de afaceri globală din anul precedent în cazul încălcării obligațiilor operatorului, luându-se în calcul cea mai mare valoare, pentru încălcarea unor obligații cum sunt cele privitoare la: obținerea consimțământului copiilor în legătură cu serviciile societății informaționale; neîntocmirea registrului activităților de prelucrare, ne-implementarea măsurilor tehnice și organizatorice adecvate, omisiunea de a notifica breșele de securitate la ANSPDCP etc.
Până la 20 milioane EUR sau 4% din cifra de afaceri globală a anului precedent în cazul încălcării obligațiilor referitoare, printre altele, la încălcarea principiilor de bază GDPR pentru prelucrare, inclusiv condițiile privind consimțământul, a drepturilor persoanelor vizate, încălcarea obligațiilor privind transferurile internaționale de date deoarece nu există o sumă minimă, acest fapt acordă o mare flexibilitate Autorității Naționale de Supraveghere în stabilirea cuantumului unei amenzi.
Ți-a schimbat job-ul pe care îl ai modul de gândire și abordare când vine vorba de mediul online și completarea de date personale?
Da, cu siguranță. În cazul meu a crescut gradul de conștientizare, atenție și responsabilizare în domeniul protecției datelor cu caracter personal (atât în mediul online, cât și offline). Atât datele mele, cât și datele fiecărei persoane fizice trebuie să fie protejate prin măsuri adecvate, este responsabilitatea și obligația fiecărui operator de date să se conformeze la normele GDPR, să demonstreze transparența și să ofere încredere cu privire la modul în care înțeleg să prelucreze datele cu caracter personal.