Reguli de comunicare online care respecta GDPR

Article Reguli de comunicare online care respecta GDPR| Decalex

Migrarea către online

Nevoia de comunicare online a atins noi maxime în contextul pandemic actual. Fie ca țintesc o comunicare eficientă cu clienții, partenerii sau proprii angajați, companiile au fost nevoite să identifice rapid soluții. 

Zoom a fost una dintre aplicațiile cu cea mai rapidă creștere în contextul pandemic, numărul participanților la întâlniri crescând cu 2900 la sută

Este important să înțelegem că nu orice soluție existentă în piață asigură și conformitatea cu Regulamentul general privind protecția datelor (GDPR).

Chiar și tool-urile care se bucură de o largă apreciere prezintă riscuri însemnate la adresa confidențialității și securității datelor utilizatorilor. Să luăm câteva exemple:

➲  În urma investigației asupra practicile sale de securitate și confidențialitate asupra Zoom Video Communications, Inc, Comisia Federală pentru Comerț („FTC”) a SUA a stabilit că Zoom a indus în eroare consumatorii, promițând un nivel ridicat de securitate și criptare, atunci când, de fapt, oferea un nivel scăzut de criptare end-to-end

➲  Autoritatea pentru protecția datelor din Hamburg a emis un avertisment cu privire la utilizarea Zoom, subliniind faptul că practicile Zoom în legătură cu transferurile de date nu sunt conforme cu „GDPR” în lumina Curții de Justiție a Uniunii Europene („CJUE”).

➲  Autoritățile de protecție a datelor din întreaga lume au emis o scrisoare deschisă companiilor care furnizează servicii de videoconferință cu privire la problemele de confidențialitate și pași pe care acestea trebuie ia pentru a atenua orice riscuri identificate și pentru a se asigura că informațiile personale ale cetățenilor sunt protejate.

➲  Autoritatea pentru protecția datelor din Bavaria pentru sectorul privat („BayLDA”) a decis că utilizarea Mailchimp este ilegală, întrucât compania nu a luat măsuri suplimentare în ceea ce privește securitatea transferului de date către US

➲  Germania a interzis școlilor sale să folosească suite de productivitate bazate pe cloud de la Microsoft, Google și Apple ca urmare a faptului că serviciile de cloud oferite de Giganții tehnologici nu își satisfac cerințele de confidențialitate.

➲  Autoritatea Irlandeză a sancționat WhatsApp cu 225 milioane EUR pentru neasigurarea transparenței

➲  Autoritățile din Statele Unite au sancționat Facebook cu 5 miliarde de dolari pentru încălcarea drepturilor la confidențialitatea datelor

Iar lista poate continua muuult și bine..

 

Ce riscă companiile?

Așa cum  vă spuneam într-un articol anterior, în care am analziat riscurile utilizării whatsapp-uui în scop profesional, riscurile pot fi:

➲  Riscul de a pierde controlul asupra datelor: Odată ajuns pe un grup, o informație (text, poza etc) poate imediat fi redirecționată către alte persoane sau grupuri, pierzandu-se astfel controlul asupra datelor.  Dacă nu vi se pare un risc așa mare, cei 100.000 Euro cu care a fost sancționată Banca Transilvania vă va contrazice imediat. Mai multe despre amenzi veți găsi mai jos.

➲  Riscul financiar: Nimeni nu-și dorește o sancțiune financiară pentru ceva aparent banal cum ni se pare utilizarea WhatsApp-ului, însă veți vedea în cele ce urmează cat de costisitoare poate fi utilizarea WhatsApp-ului în procesele companiei.

➲  Riscul reputațional: Acesta este de departe cel mai mare risc al unei companii. Dacă bani de amendă mai găsim, eforturile necesare pentru refacerea imaginii companiei sau chiar pierderea clienților/partenerilor sunt posibile repercusiuni ce se pot resimți chiar și pe termen lungi și care, în cele din urmă, se pot dovedi a fi mai costisitoare decât sancțiuna financiară în sine. 

De asemenea, riscurile la care se expune o organizație atunci când implementează un instrument de comunicare online pot fi privite, în special din trei perspective: securitatea aplicațiilor, confidențialitatea transferului internațional de date și utilizarea adecvată.

Dacă o analiza a securității tehnice este imposibil de realizat de către utilizatori, putem să acordăm o atenție deosebită riscurilor asociate transferurilor de date, în special atunci când discutăm despre un transfer internațional de date sau despre măsurile organizatorice pe care compania trebuie să le adopte pentru a asigura o utilizare corespunzătoare a acestor instrumente. 

  Transferul internațional de date:

Odată cu invalidarea de către CJUE a Deciziei 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA, cunoscut sub numele de Privacy Shield, demonstrarea legalității transferului de date către o țară care nu beneficiază de o decizie de adecvare din partea Comisiei Europene poate fi o provocare pentru multe dintre companii. 

Astfel, în lipsa unei decizii de adecvate, transferurile internaționale de date se pot baza pe derogările din art. 46 și 49 GDPR, cu condiţia să existe drepturi opozabile şi căi de atac eficiente pentru persoanele vizate. Dintre aceste derogări, cele mai des invocate de furnizorii internaționali de instrumente de comunicare online sunt Clauzele Contractuale Standard (SCC-uri)

Comisia Europeană a adoptat la începutul lunii iunie a acestui an două seturi de clauze contractuale standard, unul pentru utilizarea între operatori și persoanele împuternicite de operatori și unul pentru transferul de date cu caracter personal către țări terțe. Acestea reflectă noile cerințe prevăzute de Regulamentul general privind protecția datelor (GDPR) și iau în considerare hotărârea Schrems II a Curții de Justiție, asigurând un nivel ridicat de protecție a datelor pentru cetățeni.

Deși există modalități de a asigura confidențialitatea și securitatea transferurilor internaționale de date, poziția autităților din Germania referitoare la utilizarea celui mai mare instrument de email market (MailChimp) sau a celei mai cunoscute aplicații de videoconferință (Zoom) trag un semnal de alarma foarte clar cu privire la exportarea datelor, pe care fiecare companie ar trebui să-l ia în calcul atunci când aleg o soluție tehnică.

  Utilizarea adecvată

Pentru că marea majoritate a companiilor pleacă de la premisa că „nouă nu ni se poate întâmpla”, sancțiunile emise de autoritatea națională constituie cea mai clară dovadă că lipsa unor măsuri organizatorice adecvate pot genera o serie de riscuri, care se pot materializa in încălcări a GDPR-ului. Iată cateva exemple:

  1. World Class România SA a fost sancționată cu 2000 € pentru că a postat pe grupul de WhatsApp al angajaților săi o cerere de demisie a unui angajat (coleg), dezvăluind astfel în mod neautorizat tuturor membrilor grupului numele, prenumele, adresa, seria și numărul CI, CNP-ul și mai multe informații legate de încetarea raporturilor de muncă. 
  2. Banca Transilvania SA a fost sancționată cu amendă în cuantum de 100.000 pentru faptul că un angajat a fotografiat cu telefonul mobil o declarație a unui client al băncii și a distribuit prin intermediul aplicației WhatsApp înscrisul respectiv. Ulterior, înscrisul listat a fost postat și distribuit pe rețeaua de socializare Facebook și pe un site.
  3. Raiffeisen Bank S.A. și Vreau Credit S.R.L. au fost sancționate cu amenzi contravenționale în cuantum de 170.000 (cumulat). Doi angajați ai Raiffeisen Bank, au utilizat datele din documentele de identitate ale 1177 de persoane fizice, transmise de către angajați ai societății Vreau Credit S.R.L. prin intermediul aplicației mobile WhatsApp, în vederea efectuării de interogări ale sistemului Biroului de Credit pentru a obține datele necesare în vederea determinării eligibilității la creditare a respectivelor persoane fizice, prin simulări de prescoring.
  4. Banca Comercială Română SA, a fost sancționată cu amendă în cuantum de 5000 întrucât o angajată a băncii a colectat copiile actelor de identitate ale clienților persoanelor fizice (minori și reprezentanți legali) prin intermediul telefonului personal, precum și transmiterea acestor acte la nivelul operatorului prin aplicația WhatsApp, cu încălcarea procedurii de lucru interne.

Astfel, lipsa unor politici clare privind comunicarea inlune sau lipsa unui program de instruire continua a angajatilor proprii referitor la prelucrarea datelor cu caracter personal sunt principalele cauze ale situațiilor enumerate mai sus.

Recomandările organismelor europene

Autoritatea Europeană pentru Protecția Datelor, a publicat pe site-ul său concluziile Comitetul interinstituțional de comunicare online, care reprezintă practic o serie de recomandări adresate instituțiilor europene, dar dar care, de asemenea,  se aplica tuturor organizațiilor. 

 

Astfel, Autoritatea recomandă ca, în special atunci când se utilizează platforme de socializare, să se aibă în vedere următoarele:

 

➲  scopul pentru care doresc să prelucreze datele personale ale persoanelor pe platformele de socializare să poată fi justificat în temeiul legii UE privind protecția datelor;

ce date pot partaja sau publica;

cum să solicite consimțământul de la persoanele ale căror date pot fi publicate și cum să se asigurae că aceste date sunt corecte;

cum să șteargă datele personale ale persoanelor care solicită acest lucru

Un alt aspect subliniat a fost faptul că simpla existentă pe rețelele de socializare a anumitor informații (ex. pozele publicate de o persoana pe social media) nu inseamnă că avem dreptul de a utiliza în scopuri proprii acele informații. Astfel, chiar dacă informațiile sunt public disponibile in social media, GDPR-ul se aplica acestora în egală măsură, ca atunci când acestea nu ar fi publice.

 

Sfaturi pentru organizații

1. Cercetați capacitățile aplicației pe care doriți să o utilizați

Atunci când luați în considerare implementarea unei soluții de comunicare online faceți o analiză a soluțiilor existente pe piață, din perspectiva protecției datelor. Puteți utiliza exemplul Autorității olandeze pentru protecția datelor, care a examinat cele mai importante aspecte de confidențialitate a 13 aplicații de apeluri video utilizate în mod obișnuit, pentru a ajuta operatori în a lua cea mai buna decizie. Analiza autorității olandeze, care este în limba olandeză, poate fi consultată accesând acest link

În vederea analizei aplicațiilor puteți întreprinde următorii pași:

  • Analiza politicilor public disponibile (ex. Privacy policy, Terms and conditions), alocând o atenție deosebită transferurilor internaționale de date
  • Căutarea informațiilor privind eventuale investigații, amenzi, poziții ale autorităților europene 
  • Identificarea mecanismului prin care se asigură legalitatea transferului internațional de date (ex Clauzele Contractuale Standard și dacă acestea corespund standardelor impuse de UE
  • Existența unui acord de prelucrare a datelor (DPA) pus la dispoziție de dezvoltatorul soluției și dacă acesta răspunde cerințelor GDPR
  • Identificarea soluțiilor alternative care asigură stocarea (și menținerea) datelor în UE
  • Evaluarea capacității furnizorului soluției de a asigura securitatea și confidențialitatea datelor în conformitate cu legislația privind protecția datelor, prin implementarea unui mecanism de evaluare inițial și periodic
  • Luați în considerare utilizarea unei versiuni plătite, dacă aceasta oferă mai multe garanții cu privire la confidențialitate.

2. Adoptarea măsurilor tehnice și organizatorice adecvate

Luați măsuri tehnice și organizaționale pentru a reglementa utilizarea aplicațiilor care nu sunt permise în organizația dvs., cum ar fi:

  • Adoptarea unui proces de instruire continuă a angajaților în scopul implementării unui unei etici profesionale orientate pe protecția datelor;
  • Elaborarea politicilor și procedurilor operaționale care stabilesc cu claritate canalele oficiale de comunicare precum și cele interzise;
  • Includerea obligațiilor angajaților cu privire la utilizarea adecvată a instrumentelor de comunicare în fișa postului și în regulamentul intern al companiei
  • Limitarea accesului la datele colectate prin instrumentele de comunicare online
  • Aplicarea unor mecanisme de pseudonimizare sau criptare, acolo unde este posibil, asupra datelor rezultate în urma comunicărilor online (ex. Criptarea înregistrărilor video) 

Cum vă putem ajuta noi

 

Orice intenție de implementare a unei noi aplicații IT&C ar trebui să se bazeze pe o analiză aprofundată a riscurilor asociate, astfel încât managementul organizației să poată lua o decizie conștientă cu privire la riscurile ce pot rezulta. Drept urmare, efectuarea de analize asupra tool-urilor utilizate de clienții noștri a devenit deja o ramură esențială a activității noastre.

 

Share:
Decalex
Autor: DECALEX

PUNE O INTREBARE