Cu GDPR (General Data Protection Regulation) foarte aproape de data intrării în vigoare, 25 mai 2015, companiile deja se află în linie dreaptă pentru adaptarea serviciilor și a viziunii la noile reguli de protecție a datelor personale utilizate în țările UE. Regulamentul general privind protecția datelor (GDPR) propus de Comisia Europeană va consolida și va unifica măsurile de procesare a datelor pentru persoane fizice în cadrul Uniunii Europene (UE), abordând în același timp și exportul de date cu caracter personal în afara UE.
GDPR înlocuiește Directiva 95/46 /CE privind protecția datelor care a intrat în vigoare din 1995. GDPR are în vedere şi armonizarea legilor privind protecția datelor cu caracter personal care asigură protecția vieții private în întreaga Uniune Europeană și remodelarea modului în care organizaţiile abordează viața privată din perspectiva datelor. Efectul GDPR nu este izolat doar în Uniunea Europeană. Aplicabilitatea GDPR are un impact global.
Atunci când GDPR intră în vigoare, toate companiile care dețin orice tip de informații personale în țările UE trebuie să respecte sutele de cerințe asociate în cele 99 de articole ale regulamentului. Pe scurt, prin adoptarea GDPR, utilizatorii vor avea dreptul de a fi informați despre ce date vor fi utilizate și în ce scop, dar și dreptul de a accesa datele care sunt procesate, pentru a vedea dacă drepturile sunt încălcate sau dacă datele sunt utilizate și în alte scopuri față de cele declarate. Odată cu GDPR, oamenii vor putea cere companiilor să modifice sau să șteargă datele personale care nu sunt corecte sau sunt utilizate într-un mod eronat. Unul din cele mai importante puncte ale GDPR este dreptul utilizatorului de a-i fi șterse definitiv toate datele personale din baza unei companii.
Fiecare companie care deține datele personale ale unui individ care se află în UE trebuie să îşi asigure conformitatea cu GDPR până la 25 mai 2018. În cazul în care o companie nu este conformă atunci când o autoritate de supraveghere a GDPR efectuează un audit, organizaţia se poate confrunta cu sancțiuni mari, până la 20 de milioane de euro sau până la patru procente din totalul veniturilor anuale globale ale întreprinderii pentru exercițiul financiar precedent, oricare dintre acestea este mai mare.
În acest context Asseco vine cu o viziune proprie asupra punerii în practică și implementării GDPR pentru clienții săi. ,,Perspectiva Asseco se bazează pe mai mulți factori cheie, cum ar fi: susținerea securității prin concept, descoperirea activelor de date cu caracter personal și a dispozitivelor implicate, identificarea proceselor care implică date cu caracter personal și susținerea confidenţialității prin design, dar și evaluarea drepturilor persoanelor care accesează, operează și utilizează date cu caracter personal. De asemenea, Asseco mai ține cont de factori cum ar fi: identificarea vulnerabilităților posibile în sistemele care stochează date cu caracter personal, identificarea riscurilor de acces și definirea unor măsuri tehnice și organizaționale adecvate riscurilor”, declară Adrian Badea, Consultant de Securitate Cibernetică al Asseco SEE.
Prin GDPR, există în prima fază o obligație legală pentru operatori de a efectua o evaluare a situaţie actuale, etapă în care Asseco poate realiza o analiză detaliată privind punctele lipsă care trebuie adresate pentru conformitatea cu regulamentul. Raportul rezultat în urma analizei, furnizat de Asseco, examinează în detaliu noile dispoziții și sugerează modalitățile de implementare cu succes a acestora în mediul și infrastructura fiecărei companii. Acesta propune un proces prin care se aplică cerințele stabilite, asigurându-se atenția adecvată la drepturile fundamentale, așa cum este garantată de GDPR. De asemenea, raportul încorporează şi noile obligaţii legislative care pot fi adaptate nevoilor organizaționale.
Evaluarea gradului de pregătire GDPR efectuată de Asseco urmărește un concept general bazat pe următoarele etape:
- Plan – Evaluarea riscului și planificarea măsurilor tehnice și organizaţionale
- Do – Implementarea măsurilor tehnice și organizaţionale identificate
- Act – Corectarea și adaptarea măsurilor tehnice
- Check – Reevaluarea riscului.
Având ca direcţie strategică securitatea cibernetică, Asseco are în componenţă o echipă alcătuită din 7 experți în domeniu, din care 3 dețin acreditarea – Certified Data Protection Officer – recunoscută internațional de autoritatea de certificare PECB. Asseco poate veni în întâmpinarea companiilor pentru implementarea măsurilor care asigură conformitatea cu GDPR. Echipa Asseco Security oferă servicii de consultanță pentru măsurarea și revizuirea nivelului de securitate cibernetică al organizațiilor, oferă consiliere cu privire la modul de armonizare a cerințelor GDPR, ajută la analiza proceselor care utilizează date cu caracter personal și analizează impactul protecției datelor (DPIA) în cazul în care prelucrarea poate genera un risc ridicat.
,,Asseco poate propune metode de monitorizare în vederea respectării de către companii a regulamentului, inclusiv conştientizarea și instruirea personalului implicat în procesarea operațiunilor. Asseco oferă consultanţă pentru Ofițerul de Protecție a Datelor”, concluzionează Adrian Badea.