Imaginile video sunt date personale
”Supravegherea video – sunt peste 550 de milioane de camere de supraveghere în lume. Constituie imaginile video, oriunde ar fi ele plasate, date personale? Cu siguranță. Pentru că pot conduce la identificarea noastră, că suntem într-un anumit loc și facem o anumită operațiune.
Dacă acestea sunt prost folosite, dacă nu avem acordul celor care lucrează într-un anumit perimetru sau dacă există victime, acestea nu pot fi amplasate”, a declarat consultantul Radu Crahmaliuc, în cadrul unui eveniment ținut de către Axis Communications.
Axis este unul dintre cei mai mari producători de camere video din lume și este deținut de grupul japonez Canon.
Imaginile trebuie șterse în 30 de zile
”Felul în care păstrăm aceste date este foarte important, și mai ales durata. În foarte multe țări există recomandări, la noi este o recomandare a Autorității Naționale de Supraveghere ca datele să fie păstrate 30 de zile. Trebuie să ai un interes legitim, să informezi angajații, să ai acordul sindicatului și poți încerca un sistem mai puțin invaziv, cum ar fi să ai un paznic”, mai spune Crahmaliuc.
”Temei legal”
”Dacă nu avem temeiul legal justificativ pentru motivul pentru care instalăm o cameră de supraveghere, atunci trebuie să regândim. Acestea pot fi amplasate pentru prevenirea infracțiunilor, să prevină comportamente incorecte ale angajaților, să îmbunătățească productivitatea sau securitatea și mai pot fi amplasate pentru respectarea legislației.
Dacă sunt instalate în spații publice, pe alei etc., nu trebuie consimțământul. Dacă sunt instalate în spații private, nu trebuie cerut consimțământul, dar trebuie panotate, ca fiecare persoană să vadă și să știe. De exemplu, în transportul public, fiecare vede.
În anumite locuri, nu există justificare pentru a amplasa camere video, gen vestiare, locuri unde se mănâncă, alte locuri unde se fac activități cu caracter mai intim”, arată acesta.
Veriga slabă
Crahmaliuc a citat un studiu de securitate cibernetică ce spune că 65-70% din breșele de securitate sunt de natură interioară, fie din cauza oamenilor, fie a echipamentelor. GDPR va reduce acest risc din simplul fapt că fiecare companie va trebui obligată să aibă o politică de date și un plan de gestionare a situațiile în cazul unor breșe de securitate.
”Sunt situații în care nu se justifică să am o cameră pusă aiurea. După ce am identificat fluxul de business, oricine administrează acest sistem, inginerul de sistem sau o firmă, înseamnă că are rolul de operator de date. Și asta înseamnă că are niște obligații. Dacă e un angajat, trebuie să mă asigur că am totul în ordine. Dacă e o firmă, trebuie să mă asigur prin contract că aceasta își asumă responsabilitățile”, mai spune consultantul.
Acesta dă și câteva exemple simple.
”Dacă dispar înregistrări, vine cineva și îți acoperă o cameră și se întâmplă ceva. Îți cade curentul și în jumătatea aia de oră are loc ceva. Deja e o zonă de vulnerabilități. Protecția datelor trebuie să intre în cultura noastră.
Există riscuri dacă ai o cameră și faci o captură în diverse scopuri. Vrei să faci profilare, analiză de date, pentru toate astea trebuie să ai temei legal.
Pentru orice magazin care are o vitrină și e supravegheat video, trebuie să existe un afiș prin care oamenii să știe. Orice companie care are camere de spraveghere trebuie să aibă panotaje prin care oamenii să știe că nu ei sunt supravegheați”, a mai spus Crahmaliuc.
Protecția datelor, ca o dietă pe viață
Radu Crahmaliuc spune că regulamentul GDPR prevede ”lucruri de bun simț”, dar principalul său efect va fi acela că ne va conștientiza în privința protecției datelor și ne va face atenți la multe lucruri care acum ne scapă.
”Primul efect perturbator și poate cel mai dramatic: gândiți-vă că trebuie să țineți o dietă pe viață. Legea zice lucruri de bun simț, dar efectul său este cel important. Orice companie, chiar dacă este în Insula Paștelui, trebuie să respecte GDPR, dacă are clienți din Uniunea Europeană, pentru clienții din UE. Probabil va fi modificat de Consiliul Europei după un an. Dar e permanent, e ireversibil. Pentru comunicații digitale, comerț electronic și marketing există regulamente separate.
Sunt lucruri de bun simt: învață angajații să protejeze datele clienților. Conform noului regulament, ești obligat să îți afirmi responsabilitatea, trebuie să demonstrez că sunt capabil să protejez datele. Am avut surpriza să merg în companii de IT care nu aveau astfel de politici.
Datele sunt puterea, dar puterea nu e de ajuns. Scopul acestui regulament nu este să încuiem datele într-un seif cu șapte lacăte, ci să le facem transparente, să circule.
Pe lângă protecția datelor, este și dreptul de a fi uitat în Uniunea Europeană, există dreptul la portabilitatea datelor.
De asemenea, trebuie ca fiecare firmă să aibă un plan odată cu intrarea în vigoare a acestui regulament. Fiecare firmă trebuie să aibă un plan pentru breșe de securitate și să îl raporteze. La fel cum avem plan de evacuare în caz de incendiu, așa trebuie să avem și cu breșele de date.
Principiile privacy by design și privacy by default, la fel, trebuie implementate. În fine, transferul datelor. Între țările UE, nu sunt probleme, dar mai sunt 11 țări care au acorduri cu UE și care sunt considerate sigure. Pentru restul, trebuie analizate”, a mai arătat expertul.
Datele de business sunt tot date personale
Radu Crahmaliuc a mai arătat că e recomandat să ai grijă oricum de datele personale, pentru că orice faci e legat de date, iar datele de business sunt și ele tot date personale.
”Datele de business sunt mai valoroase decât datele personale. Gen lista clienților, cu telefon sau adrese de mail. Datele de business sunt date personale”, a spus el.
Orice PFA din România, obligat să respecte GDPR
De asemenea, el a spus că regulamentul este aplicabil inclusiv persoanelor fizice autorizate din România.
”Dacă ești o firmă mică și zici că ești prea mic și nu te afectează GDPR, nu e adevărat. Chiar dacă ești persoană fizică autorizată și ai contracte, trebuie să respecți GDPR. La fel și dacă ai 5 angajați, 50 sau 5.000”, a mai spus el.
Singurele care nu au obligația de a respecta GDPR sunt instanțele de judecată și instituțiile din sfera securității naționale, care au legi separate.
Fișierele, preferabil să fie trimise criptat
În fine, expertul a recomandat ca datele stocate să fie criptate, iar fișierele trimise pe email să fie, la rândul lor, criptate sau parolate, pentru a evita ca informațiile să cadă în mâinile unor persoane neautorizate.
”Orice date ținute pe server ar trebui criptate. De asemenea, dacă trimitem fișiere pe email, emailul este criptat, dar fișierul nu. Este recomandat ca fișierele să fie criptate și parolate”.
Amenzi de până la 4% din cifra de afaceri
Companiile care nu respectă regulamentul GDPR pot fi amendate cu până la 4% din cifra de afaceri.
În cazul în care Facebook va fi amendată pentru scurgerea de informații în cazul Cambridge Analytica, în care datele a 87 de milioane de oameni au fost culese, gigantul american ar putea fi amendat cu până la 1,6 miliarde de dolari în fiecare dintre cele 28 de state ale Uniunii Europene.
Pe lângă amenzile ce pot fi primite din cauza nerespectării GDPR, Uniunea Europeană propune ca autoritățile pentru protecția consumatorilor din statele membre să poată amenda și ele cu până la 4% din cifra de afaceri companiile care oferă servicii ”gratuite”.
Citește și:
Cum comunică preşedintele României cu premierul. Legile nescrise ale palatelor Cotroceni şi Victoria
Rezultate Alegeri SUA – cine va fi noul președinte al Americii!