Apocalipsa datelor personale. Camerele de supraveghere, "cartoful fierbinte" in privinta GDPR si a protejarii datelor

Apocalipsa datelor personale. Camerele de supraveghere, "cartoful fierbinte" in privinta GDPR si a p...

Camerele de supraveghere sunt "cartoful fierbinte" al regulamentului GDPR privind protectia datelor personale, care se va aplica in Romania si in restul Uniunii Europene incepand din 25 mai. Expertii arata ca exista mai multe conditii legate de amplasarea camerelor video. De asemenea, acestia spun ca inclusiv persoanele fizice autorizate trebuie sa se supuna noului regulament, iar singurele care nu trebuie sa il adopte sunt instantele si institutiile din domeniul securitatii nationale, care au alte legi dupa care functioneaza.

Imaginile video sunt date personale

"Supravegherea video - sunt peste 550 de milioane de camere de supraveghere in lume. Constituie imaginile video, oriunde ar fi ele plasate, date personale? Cu siguranta. Pentru ca pot conduce la identificarea noastra, ca suntem intr-un anumit loc si facem o anumita operatiune.

Daca acestea sunt prost folosite, daca nu avem acordul celor care lucreaza intr-un anumit perimetru sau daca exista victime, acestea nu pot fi amplasate", a declarat consultantul Radu Crahmaliuc, in cadrul unui eveniment tinut de catre Axis Communications.

Axis este unul dintre cei mai mari producatori de camere video din lume si este detinut de grupul japonez Canon.

Imaginile trebuie sterse in 30 de zile

"Felul in care pastram aceste date este foarte important, si mai ales durata. In foarte multe tari exista recomandari, la noi este o recomandare a Autoritatii Nationale de Supraveghere ca datele sa fie pastrate 30 de zile. Trebuie sa ai un interes legitim, sa informezi angajatii, sa ai acordul sindicatului si poti incerca un sistem mai putin invaziv, cum ar fi sa ai un paznic", mai spune Crahmaliuc.

"Temei legal"

"Daca nu avem temeiul legal justificativ pentru motivul pentru care instalam o camera de supraveghere, atunci trebuie sa regandim. Acestea pot fi amplasate pentru prevenirea infractiunilor, sa previna comportamente incorecte ale angajatilor, sa imbunatateasca productivitatea sau securitatea si mai pot fi amplasate pentru respectarea legislatiei.

Daca sunt instalate in spatii publice, pe alei etc., nu trebuie consimtamantul. Daca sunt instalate in spatii private, nu trebuie cerut consimtamantul, dar trebuie panotate, ca fiecare persoana sa vada si sa stie. De exemplu, in transportul public, fiecare vede.

In anumite locuri, nu exista justificare pentru a amplasa camere video, gen vestiare, locuri unde se mananca, alte locuri unde se fac activitati cu caracter mai intim", arata acesta.

Veriga slaba

Crahmaliuc a citat un studiu de securitate cibernetica ce spune ca 65-70% din bresele de securitate sunt de natura interioara, fie din cauza oamenilor, fie a echipamentelor. GDPR va reduce acest risc din simplul fapt ca fiecare companie va trebui obligata sa aiba o politica de date si un plan de gestionare a situatiile in cazul unor brese de securitate.

"Sunt situatii in care nu se justifica sa am o camera pusa aiurea. Dupa ce am identificat fluxul de business, oricine administreaza acest sistem, inginerul de sistem sau o firma, inseamna ca are rolul de operator de date. Si asta inseamna ca are niste obligatii. Daca e un angajat, trebuie sa ma asigur ca am totul in ordine. Daca e o firma, trebuie sa ma asigur prin contract ca aceasta isi asuma responsabilitatile", mai spune consultantul.

Acesta da si cateva exemple simple.

"Daca dispar inregistrari, vine cineva si iti acopera o camera si se intampla ceva. Iti cade curentul si in jumatatea aia de ora are loc ceva. Deja e o zona de vulnerabilitati. Protectia datelor trebuie sa intre in cultura noastra.

Exista riscuri daca ai o camera si faci o captura in diverse scopuri. Vrei sa faci profilare, analiza de date, pentru toate astea trebuie sa ai temei legal.

Pentru orice magazin care are o vitrina si e supravegheat video, trebuie sa existe un afis prin care oamenii sa stie. Orice companie care are camere de spraveghere trebuie sa aiba panotaje prin care oamenii sa stie ca nu ei sunt supravegheati", a mai spus Crahmaliuc.

Protectia datelor, ca o dieta pe viata

Radu Crahmaliuc spune ca regulamentul GDPR prevede "lucruri de bun simt", dar principalul sau efect va fi acela ca ne va constientiza in privinta protectiei datelor si ne va face atenti la multe lucruri care acum ne scapa.

"Primul efect perturbator si poate cel mai dramatic: ganditi-va ca trebuie sa tineti o dieta pe viata. Legea zice lucruri de bun simt, dar efectul sau este cel important. Orice companie, chiar daca este in Insula Pastelui, trebuie sa respecte GDPR, daca are clienti din Uniunea Europeana, pentru clientii din UE. Probabil va fi modificat de Consiliul Europei dupa un an. Dar e permanent, e ireversibil. Pentru comunicatii digitale, comert electronic si marketing exista regulamente separate.

Sunt lucruri de bun simt: invata angajatii sa protejeze datele clientilor. Conform noului regulament, esti obligat sa iti afirmi responsabilitatea, trebuie sa demonstrez ca sunt capabil sa protejez datele. Am avut surpriza sa merg in companii de IT care nu aveau astfel de politici.

Datele sunt puterea, dar puterea nu e de ajuns. Scopul acestui regulament nu este sa incuiem datele intr-un seif cu sapte lacate, ci sa le facem transparente, sa circule.

Pe langa protectia datelor, este si dreptul de a fi uitat in Uniunea Europeana, exista dreptul la portabilitatea datelor.

De asemenea, trebuie ca fiecare firma sa aiba un plan odata cu intrarea in vigoare a acestui regulament. Fiecare firma trebuie sa aiba un plan pentru brese de securitate si sa il raporteze. La fel cum avem plan de evacuare in caz de incendiu, asa trebuie sa avem si cu bresele de date.

Principiile privacy by design si privacy by default, la fel, trebuie implementate. In fine, transferul datelor. Intre tarile UE, nu sunt probleme, dar mai sunt 11 tari care au acorduri cu UE si care sunt considerate sigure. Pentru restul, trebuie analizate", a mai aratat expertul.

Datele de business sunt tot date personale

Radu Crahmaliuc a mai aratat ca e recomandat sa ai grija oricum de datele personale, pentru ca orice faci e legat de date, iar datele de business sunt si ele tot date personale.

"Datele de business sunt mai valoroase decat datele personale. Gen lista clientilor, cu telefon sau adrese de mail. Datele de business sunt date personale", a spus el.

Orice PFA din Romania, obligat sa respecte GDPR

De asemenea, el a spus ca regulamentul este aplicabil inclusiv persoanelor fizice autorizate din Romania.

"Daca esti o firma mica si zici ca esti prea mic si nu te afecteaza GDPR, nu e adevarat. Chiar daca esti persoana fizica autorizata si ai contracte, trebuie sa respecti GDPR. La fel si daca ai 5 angajati, 50 sau 5.000", a mai spus el.

Singurele care nu au obligatia de a respecta GDPR sunt instantele de judecata si institutiile din sfera securitatii nationale, care au legi separate.

Fisierele, preferabil sa fie trimise criptat

In fine, expertul a recomandat ca datele stocate sa fie criptate, iar fisierele trimise pe email sa fie, la randul lor, criptate sau parolate, pentru a evita ca informatiile sa cada in mainile unor persoane neautorizate.

"Orice date tinute pe server ar trebui criptate. De asemenea, daca trimitem fisiere pe email, emailul este criptat, dar fisierul nu. Este recomandat ca fisierele sa fie criptate si parolate".

Amenzi de pana la 4% din cifra de afaceri

Companiile care nu respecta regulamentul GDPR pot fi amendate cu pana la 4% din cifra de afaceri.

In cazul in care Facebook va fi amendata pentru scurgerea de informatii in cazul Cambridge Analytica, in care datele a 87 de milioane de oameni au fost culese, gigantul american ar putea fi amendat cu pana la 1,6 miliarde de dolari in fiecare dintre cele 28 de state ale Uniunii Europene.

Pe langa amenzile ce pot fi primite din cauza nerespectarii GDPR, Uniunea Europeana propune ca autoritatile pentru protectia consumatorilor din statele membre sa poata amenda si ele cu pana la 4% din cifra de afaceri companiile care ofera servicii "gratuite".

Citeste si: