Interviu cu Daniela Cireașă, fondator Netspace, Senior Consultant Neoprivacy, Vicepreședinte ASCPD și Președinte CONAF Sucursala Brăila:
Absolventă a Facultății de Drept în anul 2001, Daniela Cireașă și-a început activitatea în mediul privat din postul de consilier juridic. În prezent deține funcția de Vicepreședinte al Asociației Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD), este co-autor al instrumentului de lucru GDPR Aplicat apărut în ianuarie 2020, participant și lector la evenimentele privind protecția datelor personale din România, câștigător împreună cu echipa a titlului de “Cel mai bun DPO din Romania” în iunie 2019 la Tg. Mureș, autor si co-autor a numeroase articole apărute în “Revista Română pentru securitatea și protecția datelor cu caracter personal”, juridice.ro, dpo-net.ro. Daniela Cireașă este, de asemenea, consultant în protecția datelor personale și DPO extern, fondator Netspace, Senior Consultant la Neoprivacy și Președinte al Sucursalei CONAF Brăila. În luna martie 2021 Daniela a devenit “PECB Certified Data Protection Officer” și “PECB Certified Trainer”, ambele certificări fiind recunoscute la nivel internațional.
Ce impact a avut pandemia asupra business-urilor din perspectiva protecției datelor?
Pandemia Covid 19 a forțat trecerea rapidă la digitalizare, la implementarea de noi tehnologii fără a permite analiza profund riguroasă a efectelor secundare, a tuturor implicațiilor acestei bruște schimbări. Am observat cu toții că în martie-aprilie 2020 antreprenorii au fost luați prin surprindere de starea de urgență, de trimiterea acasă a angajaților și a fost necesară găsirea de soluții urgente pentru reluarea sau continuarea activității. Începând cu luna mai 2020, online-ul a explodat efectiv, de la organizarea de conferințe, webinarii, ședințe de lucru, telemunca, școala online, cursuri de formare profesională, telemedicină, comerț etc., efectiv viața noastră s-a mutat în online, fără a fi pregătiți din punct de vedere tehnic și a trebuit să ne adaptăm pe parcurs.
Antreprenorii s-au văzut nevoiți să își mute activitatea, spre exemplu din magazinele fizice, în magazine online și chiar, dacă dețineau deja un magazin online, întreaga activitate s-a concentrat brusc exclusiv pe acesta.
Din perspectiva persoanelor vizate poate că viața a devenit mai simplă, cu un singur click ne putem comanda de mâncare, ne putem cumpara haine sau mobilier pentru casă, putem accesa cursurile necesare din fotoliul de acasă sau putem participa la întâlnirea cu colegii îmbrăcați în pantaloni de pijama. Din perspectiva antreprenorului, deși oportunitatea de business primează, el trebuie să se asigure că livrează bunuri și servicii în cea mai sigură modalitate posibilă, că în afară de persoanele strict necesare, nimeni altcineva nu are acces la datele personale ale clienților sau pacienților, că mijloacele de comunicare cu aceștia sunt sigure, că stocarea datelor se face în condiții de siguranță.
Probabil că majoritatea antreprenorilor sunt tentați să spună că se ocupă firma de IT sau de cea care de vânzări, în general serviciile externalizate, și că responsabilitatea le aparține acestora. Această opinie este profund eronată deoarece responsabilitatea aparține întotdeauna operatorului care trebuie să instruiască și să verifice și chiar să auditeze activitatea colaboratorilor săi. Desigur, n-ar putea să o facă personal și cel mai probabil nici cu resurse interne însă poate oricând apela la un audit extern realizat de către specialiști în protecția datelor personale și IT.
Ne vorbeai despre magazinele online. Ce ar trebui să știe un antreprenor pentru a avea un site conform cu GDPR?
Conformitatea cu GDPR se aplică atât site-urilor de prezentare a business-ului cât și magazinelor online. Chiar și cel mai simplu site de prezentare are un formular de contact sau abonare la newsletter prin care colecteaza date personale (adresa de e-mail, nume, prenume, telefon). Prin simpla accesare a unui site sunt colectate date personale prin intermediul cookie-urilor, spre exemplu.
Atunci când discutam despre conformitatea unui site trebuie să ne uităm în primul rând dacă site-ul are certificat SSL. De asemenea, trebuie analizată conformitatea bării de cookie. Știu că pentru majoritatea dintre noi aceasta e doar un pop-up deranjant dar ea are rolul ei, ne informează ce tipuri de cookie sunt prezente pe site și ne solicită acordul pentru orice alt tip de cookie cu excepția celor stric necesare pentru funcționarea site-ului. Atenție, căsuțele pentru diversele tipuri de cookie nu trebuie să fie prebifate ci bifarea acestora trebuie să fie la latitudinea utilizatorului site-ului.
Mai departe, ne uităm dacă există o politică de protecția datelor/de confidențialitate. În multe cazuri am întâlnit politici copiate de pe alte site-uri, nepersonalizate, ba chiar cu numele site-ului de unde fuseseră copiate. Politica trebuie să răspundă cel puțin la informațiile solicitate prin articolul 13 și/sau 14 din GDPR așadar e relativ ușor de verificat dacă aceasta este conformă sau nu. Publicarea unei politici complete și corect întocmite este o dovadă a respectării principiului transparenței si responsabilitatii din GDPR.
Deși nu neapărat legat de protecția datelor personale, pe site-uri ar trebui să fie publicat un document denumit “Termeni și condiții” care are valoarea unul contract între deținatorul site-ului și vizitatorii/clienții sau pacienții care se înscriu pe site. Acest document are o relevanță deosebită în cazul în care temeiul de prelucrare a datelor personale ale utizatorilor site-ului este contractul.
Majoritatea site-urilor oferă posibilitatea înscrierii la newsletter prin simpla introducere a adresei de e-mail. Cu această ocazie trebuie să fie solicitat acordul persoanei vizate pentru prelucrarea adresei de e-mail iar acesteia să-i fie puse la dispozitie toate informațiile relevante conform articolului 13 din GDPR (prin intermediul unui link către Politica de confidențialitate). Recomand ca înscrierea la newsletter să fie verificată prin metoda double-opt-in, respectiv să i se solicite persoanei vizate să valideze înscrierea la newsletter. În acest fel, operatorul se asigură de identitatea persoanei vizate și de intentia reală a acesteia de a se abona. Operatorul trebuie să pună la dispozitia persoanelor vizate o modalitate de dezabonare la fel de facilă precum este cea de abonare (spre exemplu, la finalul fiecărui newsletter transmis).
Pentru transmiterea de mesaje în urma abonării la newsletter trebuie utilizate aplicații care să nu transfere datele personale în țări terțe în absența unor garanții adecvate. Există astfel de aplicații de transmitere de newsletter și din România, în conditii excelente de calitate. Același lucru este valabil și pentru serviciile de plată online. În general, toate aceste servicii externe trebuie verificate și trebuie respectat principiul minimizării datelor în sensul solicitării datelor strict necesare pentru prestarea serviciilor.
Dincolo de ceea ce se vede pe site, operatorul trebuie să acorde o atenție deosebită cui acordă drepturi de acces pe pagina, dacă angajații săi au fost instruiți și au semnat acorduri de confidențialitate, unde sunt stocate datele colectate prin intermediul site-ului, dacă are încheiate acorduri cu toți colaboratorii care au acces la date, cât timp sunt stocate și ce măsuri tehnice și organizatorice de securizare a datelor utilizează.
În opinia mea, site-ul reprezintă oglinda activității operatorului iar acesta trebuie să acorde o atentie deosebita aspectelor de mai sus deoarece vizitatorii site-ului, potențialii clienți sunt interesați inclusiv de respectarea drepturilor lor și de ceea ce se întamplă cu datelor lor personale încredințate operatorului site-ului.
Interviu realizat de Carmen Burtea contributie CONAF, pentru Ziarul News-editie nationala.
