Adaptarea activitatii Battlegroup in contextul pandemiei de COVID-19
In ultimele saptamâni, am urmarit cu atentie evolutia situatiei globale in ceea ce priveste r?spândirea, transmiterea si, cel mai important, efectele produse de noul coronavirus, COVID-19, asupra noastr? si a celor din jurul nostru.
Battlegroup are in permanen?? misiunea de a livra clien?ilor serviciile premium pe care le merit?, la cele mai inalte standarde de calitate si de promptitudine. Cu toate acestea, in acelasi timp avem si datoria de a asigura si cele mai inalte standarde de securitate atât pentru noi, cât si pentru cei cu care interac?ion?m zi de zi. Prin urmare, am fost nevoi?i s? ne adapt?m modul de lucru, cel pu?in pentru cele 30 de zile in care ne vom afla sub imperiul st?rii de urgen?? decretate ast?zi.
Ce m?suri am luat?
- vineri, 13 martie 2020, a fost ultima zi in care ne-am desf?surat activitatea f?r? restric?ii; incepând de astazi, 16 martie, toat? activitatea noastr? se desf?soar? exclusiv remote (la distan??);
- toate c?l?toriile noastre in scop de afaceri sunt fie amânate, fie deja reprogramate pentru lunile de var?;
- toate cursurile si evenimentele cu prezen?? fizic?, organizate de noi si partenerii nostri, programate a se desf?sura in lunile martie si aprilie, sunt anulate;
- intâlnirile cu clientii si partenerii nostri sunt limitate doar la situa?iile de extrem? urgen?? (de exemplu, incidente de securitate sau alte asemenea evenimente de maxim? importan?? ce nu pot fi gestionate de la distan??).
Ce vom face in continuare?
In mod evident, nu vom l?sa nimic s? afecteze activitatea noastr?. Intrucât Battlegroup este o companie ce functioneaz? integral informatizat, vom continua s? oferim aceleasi servicii si in aceleasi conditii ca si pân? acum, concentrându-ne in schimb mai mult asupra gestion?rii rela?iilor contractuale f?r? a fi necesar? prezen?a fizic?. La acest moment, estim?m c? acest scenariu va fi aplicabil cel pu?in pân? la sfârsitul lunii aprilie 2020.
To?i clien?ii nostri beneficiaz? de suport suplimentar in aceast? perioad?, in special cei care sunt nevoi?i s? implementeze, la rândul lor, lucrul la distant?.
Suntem al?turi de to?i clien?ii, partenerii si prietenii nostri in efortul comun de a dep?si cât mai repede aceast? perioad? grea.
Dac? mai era nevoie, v? reamintim c? ne face pl?cere s? v? fim de ajutor, pentru orice situatie.
Implica?iile Brexit asupra GDPR
De?i incertitudinea este cuvântul de ordine în ceea ce prive?te ie?irea Marii Britanii din Uniunea Europeana la 31 octombrie 2019, autoritatea de supraveghere a datelor personale din Regatul Unit, Information Commissioner’s Office, desf??oar? campanii de informare a operatorilor de date britanici pentru clarificarea modului în care Brexit-ul va afecta prelucr?rile de date personale ale cet??eniilor UE efectuate de ace?tia, în special în care ie?irea din Uniune nu se va face prin intermediul unui acord UE – UK.
In eventualitatea unui Brexit f?r? acord, cele mai mari provoc?ri le vor avea de înfruntat operatorii de date din Marea Britanie, urmând ca ace?tia sa fie considera?i dup? 31 octombrie operatori de date non-UE.
Care va fi legisla?ia aplicabil? dup? Brexit?
GDPR este un regulament al Uniunii Europene. Aceasta înseamn? c? a devenit un act normativ aplicabil în toate statele membre ale UE (inclusiv în Marea Britanie), inclusiv în statele Spa?iului Economic European – SEE.
Când Marea Britanie va ie?i din UE, GDPR UE nu va mai fi aplicabil în mod direct în Marea Britanie. Cu toate acestea, guvernul britanic va men?ine GDPR în legisla?ia Regatului Unit, cu modific?rile necesare pentru a-?i adapta dispozi?iile pentru Marea Britanie („GDPR UK”).
Principiile, drepturile ?i obliga?iile cheie vor r?mâne acelea?i. Cu toate acestea, exist? implica?ii pentru regulile privind transferurile de date cu caracter personal între Marea Britanie ?i SEE.
Guvernul britanic inten?ioneaz? ca GDPR-ul Regatului Unit s? se aplice ?i operatorilor de date personale ?i împuternici?ilor acestora cu sediul în afara Regatului Unit, dac? activit??ile lor de procesare se refer? fie la oferirea de bunuri sau servicii persoanelor fizice din Marea Britanie, fie la monitorizarea comportamentului persoanelor fizice din Marea Britanie.
Exist?, de asemenea, implica?ii pentru operatorii de date personale din Marea Britanie care au un sediu si în SEE, sau au clien?i în SEE sau monitorizeaz? persoanele din SEE. GDPR UE se va aplica în continuare pentru aceste prelucr?ri de date personale, dar modul în care operatorii britanici interac?ioneaz? cu autorit??ile europene pentru protec?ia datelor se va schimba.
Transferurile de date intre Marea Britanie si SEE dup? Brexit
Autoritatea Europeana de Protec?ie a Datelor (EDPB) a emis înc? din 12 februarie 2019 o informare cu privire la modul în care se vor putea efectua transferuri de date din SEE în Marea Britanie, dup? ie?irea din UE f?r? acord.
In lipsa unui acord pentru Brexit, Regatul Unit va deveni o ?ar? ter?? începând cu 31 octombrie 2019. Acest lucru înseamn? c? transferurile de date personale în Marea Britanie trebuie s? se bazeze pe unul dintre urm?toarele instrumente:
- Clauze contractuale standard sau ad-hoc de protec?ie a datelor
- Reguli corporatiste obligatorii
- Coduri de conduit? ?i mecanisme de certificare
- Derog?ri ce pot fi utilizate numai în absen?a clauzelor standard de protec?ie a datelor sau a unei alte garan?ii alternative adecvate.
Efectele Brexit-ului asupra cerin?elor de conformitate cu GDPR
In situa?ia unui operator de date personale cu sediul în Marea Britanie care nu are o sucursal?, birou sau alt? unitate într-un stat al UE sau SEE, dar care ofera bunuri sau servicii persoanelor fizice din SEE sau monitorizeaz? comportamentul indivizilor afla?i în SEE, atunci acest operator britanic va trebui totu?i s? respecte GDPR cu privire la aceast? prelucrare chiar ?i dup? ce Marea Britanie va p?r?si UE.
Întrucât operatorii de date britanici vor fi considera?i non-SEE dup? Brexit, GDPR prevede obliga?ia de desemnare a unui reprezentant în SEE. Acest reprezentant va trebui s? fie înfiin?at într-un stat UE sau SEE în care sunt localizate unele dintre persoanele ale c?ror date personale pe care le prelucra?i în acest mod. Operatorii britanici vor trebui s? autorizeze, în scris, reprezentantul, s? ac?ioneze în numele lor cu privire la respectarea cerin?elor GDPR ?i s? gestioneze rela?iile cu autorit??ile de supraveghere sau persoanele vizate în acest sens. Reprezentantul poate fi o persoan? fizic? sau o companie sau organiza?ie înfiin?at? în SEE ?i trebuie s? poat? reprezenta operatorul britanic cu privire la toate obliga?iile pe care le are în baza GDPR (de exemplu, o societate de consultan??).
Operatorii britanici vor fi obliga?i s? furnizeze persoanelor cu domiciliul în SEE ale c?ror date personale le prelucreaz?, datele de contact ale reprezentantului desemnat. Acest lucru se poate face prin includerea lor în politica de confiden?ialitate sau în notele de informare furnizate persoanelor fizice atunci când sunt colectate datele lor. De asemenea, datele reprezentantului trebuiesc f?cute u?or accesibil autorit??ilor de supraveghere – de exemplu, publicându-l pe site-ul web. Numirea reprezentantului trebuie s? fie f?cut? obligatoriu în scris ?i ar trebui s? stabileasc? termenii rela?iei operatorului cu acesta. Desemnarea unui reprezentant nu afecteaz? propria responsabilitate sau r?spundere a operatorului în ceea ce prive?te respectarea cerin?elor GDPR.
Amend? GDPR de 400 000 EUR: înc?lcarea securit??ii datelor ?i nerespectarea duratei de p?strare
Autoritatea franceza de supraveghere a datelor personale – CNIL a dispus amendarea companiei SERGIC cu suma de 400.000 EUR pentru protec?ia insuficient? a datelor personale ale utilizatorilor site-ului s?u web ?i pentru modul necorespunz?tor de stocare a acestor date.
Prin decizia CNIL nr. SAN – 2019-005 din 28 mai 2019, s-a re?inut faptul ca societatea SERGIC este specializat? în dezvoltarea imobiliar?, cump?rarea, vânzarea, închirierea ?i administrarea propriet??ilor. În scopul desf??ur?rii activit??ii sale, a creat ?i gestionat site-ul www.sergic.com. Prin intermediul acestui site, compania permite clien?ilor înc?rcarea ?i desc?rcarea de documente justificative necesare pentru constituirea dosarului lor.
Sursa amenzii: plângerea unui utilizator
În august 2018, CNIL a primit o plângere din partea unui utilizator al site-ului, care a declarat c? poate accesa, din spa?iul sau personal de pe site, documentele salvate de al?i utilizatori prin modificarea u?oar? a adresei URL afi?ate în browser.
Un control la distanta, efectuat de autoritate la 7 septembrie 2018, a constatat c? documentele transmise de c?tre solicitan?i pentru închiriere au fost accesibile în mod liber, f?r? autentificare prealabil?. Aceste documente includeau copii ale c?r?ilor de identitate, declara?iilor fiscale, certificatelor eliberate de fondul de aloca?ii familiale, hot?râri de divor?, extrase de cont sau alte documente bancare.
Chiar în ziua controlului, CNIL a alertat compania asupra acestui incident de securitate ?i a înc?lc?rii în consecin?? a regulilor de prelucrare a datelor cu caracter personal.
Câteva zile mai târziu, s-a efectuat un control la sediul companiei. Cu aceast? ocazie, a devenit evident c? societatea era con?tient? de vulnerabilitate înc? din martie 2018 ?i c?, dac? ar fi ini?iat dezvolt?ri informatice pentru a o corecta, deficienta putea fi înl?turat? complet pana la data controlului.
Doua înc?lc?ri ale GDPR
In primul rând, CNIL a constatat c? societatea SERGIC nu ?i-a îndeplinit obliga?ia de a asigura securitatea datelor personale ale utilizatorilor site-ului s?u, prev?zut? la articolul 32 din GDPR.
Compania nu a avut o procedur? de autentificare a utilizatorului pentru site, pentru a se asigura c? persoanele care acceseaz? documentele au avut acest drept, chiar dac? era de a?teptat o astfel de m?sur? elementar?. Acest e?ec a fost agravat, pe de o parte, de natura datelor puse la dispozi?ie ?i, pe de alt? parte, de lipsa de diligen?? a societ??ii în corectarea acesteia: vulnerabilitatea nu a fost corectat? definitiv decât dup? 6 luni ?i nu au fost luate m?suri de urgen?? pentru a limita impactul vulnerabilit??ii.
In al doilea rând, autoritatea a constatat faptul c? societatea a p?strat în baza sa activ? de date toate documentele transmise de c?tre candida?i, f?r? o limitare a duratei de p?strare.
Concluzii
In motivarea sanc?iunii, CNIL a reamintit c?, în principiu, perioada de p?strare a datelor cu caracter personal trebuie s? fie stabilit? în func?ie de scopul prelucr?rii.
Atunci când acest scop (de exemplu, gestionarea cererilor utilizatorilor) este atins ?i c? nici un alt scop nu justific? p?strarea datelor în baza activ?, datele trebuie fie ?terse, fie arhivate, dac? reten?ia este necesar? pentru respectarea cerin?elor legale sau pentru eventuale litigii. În acest caz, datele trebuie plasate în arhivare intermediar?, de exemplu într-o baz? de date separat?. Din nou, durata acestei arhiv?ri trebuie s? fie limitat? la ceea ce este strict necesar.
Pentru stabilirea cuantumului amenzii, autoritatea a luat în considerare gravitatea înc?lc?rilor, lipsa de diligen?? a societ??ii în abordarea vulnerabilit??ii ?i faptul c? documentele astfel accesibile au relevat aspecte foarte intime ale vie?ii oamenilor. De asemenea, a ?inut cont ?i de m?rimea companiei ?i de situa?ia sa financiar?.
Textul complet al deciziei, in limba franceza, poate fi consultat AICI
Sursa informa?iilor: https://www.cnil.fr
De ce trebuie ?terse datele personale
Autoritatea danez? pentru protec?ia datelor Datatilsynet a aplicat recent prima sa amend? pentru înc?lcarea GDPR de c?tre compania de taxi Taxa 4 × 35 (Taxa), pentru p?strarea anumitor date ale clien?ilor pentru mai mult timp decât era necesar.
Înc?lcarea principiului minimiz?rii datelor personale
Autoritatea daneza a constatat c? societatea Taxa nu a respectat principiul minimiz?rii datelor GDPR prin re?inerea datelor cu caracter personal mult timp dup? limita de re?inere preconizat? pentru astfel de categorii de date. Taxa a eliminat numele ?i adresele clien?ilor dup? doi ani de re?inere, dar au p?strat numerele de telefon ale clien?ilor pentru înc? trei ani. Taxa a sus?inut c? numerele de telefon au reprezentat o parte esen?ial? a bazei sale de date IT ?i, prin urmare, nu au putut fi ?terse în acela?i timp.
Autoritatea de protec?ie a datelor nu a fost de acord cu justificarea c? o dificultate în cadrul sistemului informatic al unei companii poate justifica o astfel de înc?lcare grav? a confiden?ialit??ii datelor. În plus, încerc?rile de anonimizare ale datelor de?inute de Taxa erau insuficiente. Anonimizarea datelor presupune ca societ??ile s? fac? imposibil? conectarea anumitor informa?ii astfel încât sa nu poat? fi identificata o persoan? fizica. În ciuda ?tergerii numelor clien?ilor de la Taxa, informa?iile ce au r?mas în sistemul s?u informatic pot totu?i sa identifice persoanele vizate prin numerele de telefon.
Care este relevan?a sanc?iunii?
Autoritatea din Danemarca a aplicat o amend? de 1,2 milioane de coroane, adic? aproximativ 160,754 EUR. Aceasta reprezint? aproximativ 2,8% din cifra de afaceri anual? a companiei, ceea ce demonstreaz?, în esen??, disponibilitatea autorit??ilor de supraveghere ale UE de a se apropia de plafonul anual de 4% anual al cifrei de afaceri globale impus de GDPR. Anterior GDPR, o astfel de amend? în Danemarca nu ar fi dep??it 25.000 de coroane (aproximativ 3.350 de euro). Aceast? amenda consistenta este legata de cantitatea mare de date despre clien?i de care compania nu a mai avut nevoie, ci a p?strat-o prea mult timp – ?i anume numere de telefon personale conectate la nou? milioane de c?l?torii de taxi. Decizia autorit??ii stabile?te, de asemenea, ?i un precedent, in sensul c? limit?rile organiza?ionale ale procedurilor ?i aplica?iilor IT nu pot fi recunoscute ca fiind un motiv legitim de a supra-p?stra datele cu caracter personal. Companiile care se confrunt? cu astfel de limit?ri sunt nevoite s? exploreze alte solu?ii pentru a diminua riscurile, de exemplu înlocuirea numerelor de telefon ?i a informa?iilor cu identificatori aleatorii pentru a anonimiza în mod eficient datele personale mai vechi.
Sanc?iunea autorit??ii daneze este prima impus? în aceasta ?ar? pentru nerespectarea cerin?elor GDPR, dup? cum tot prima a fost ?i amenda din Polonia pentru înc?lcarea articolului 14 din GDPR – aproape 220 000 EUR pentru nerespectarea de c?tre o companie a inform?rii persoanelor vizate cu privire la modul în care prelucreaz? datele lor personale, sau amenda-record aplicata în Fran?a gigantului Google, despre care am scris pe larg anterior.
Este evident c? aceast? list? de „prime sanc?iuni” este într-o continua cre?tere, în condi?iile în care autorit??ile de reglementare din UE vor folosi, f?r? îndoial?, practica recent? ca element definitoriu pentru viitoarele controale ?i sanc?iuni. Operatorii de date personale sunt nevoi?i astfel s? ?in? seama de sanc?iunile aplicate în întreaga UE pentru a aprecia consecin?ele înc?lc?rii GDPR ?i a începe s? adopte m?suri tehnice ?i organizatorice de protec?ie a datelor personale.