Tudor Galos

- The Blog of Tudor Galos -

Solution Development si GDPR

Articol din categoria: Trends

Lucr├ónd cu peste 90 de clien╚Ťi ├«n zona de privacy compliance, colabor├ónd cu colegi din lumea ├«ntreag─â ├«n proiecte interna╚Ťionale, m-am intersectat cu multe companii de software development at├ót din postura de consultant direct dar ╚Öi din postura de consultant pentru clien╚Ťii acestor companii. ├Än foarte multe cazuri companiile nu ├«╚Öi dau seama de ce rol important au ├«n asigurarea conformit─â╚Ťii la diversele norme de protec╚Ťie a datelor cu caracter personal din lumea ├«ntreag─â. Fiindc─â WOW, ghici ce, GDPR nu este singurul regulament ÔÇô mai mult, a devenit o orientare pentru noi legi de protec╚Ťie a datelor ce sunt adoptate ├«n lumea ├«ntreag─â (lacrimi ╚Öi suspine la detractorii ce spuneau c─â GDPR va fi anulat dup─â doi ani).

Contextul este urm─âtorul:

  • Date cu caracter personal = orice informa╚Ťie sau set de informa╚Ťii ce pot duce direct sau indirect (adic─â nu de c─âtre tine, ci de c─âtre al╚Ťii sau de c─âtre ma╚Öini) la identificarea unei persoane. Dincolo de nume, prenume, CNP, email, telefon putem vorbi de ceva genul ÔÇ×omul din poz─â care are un tatuaj cu un inorog ce bea vodc─â cu un ╚ÖarpeÔÇŁ). Asta este dat─â cu caracter personal deoarece duce la identificarea unei singure persoane.
  • Prelucrare de date cu caracter personal = orice faci cu datele de mai sus. Le vezi, modifici, descarci, ╚Ötergi, p─âstrezi etc = le prelucrezi. Orice.

├Än Rom├ónia marea majoritate a firmelor de software development fac custom solutions. Adic─â solu╚Ťii la cheie, on-demand, solu╚Ťii pentru care ofer─â ╚Öi mentenan╚Ť─â. ╚śi aici ├«ncepe distrac╚Ťia. Avem a╚Öa:

IP-ul solu╚Ťiei merge la client dar exist─â o garan╚Ťie/ contract de suport. ├Än acest caz s-ar putea s─â fie nevoie ca firma de software development s─â intervin─â ├«n caz de incident ╚Öi pe baza de date de clien╚Ťi, caz ├«n care prelucreaz─â acele date cu caracter personal.

Dezvoltarea presupune ╚Öi testare. ├Änc─â sunt destule firme de dezvoltare ce lucreaz─â cu data set-uri ne-anonimizate de la clien╚Ťii lor, adic─â fi╚Öiere cu date reale ÔÇô date personale. Deci le prelucreaz─â.

Firma de software development ofer─â ╚Öi hosting-ul aplica╚Ťiei, adic─â face un SaaS. Aici e clar c─â prelucreaz─â date cu caracter personal.

Dezvoltatorii de site-uri web care fac și ei magazinașe mici cu baze de date mySql, la care au acces în caz de depanare. Ia ghici ce, prelucrează date cu caracter personal.

Când prelucrezi date cu caracter personal ești fie operator (data controller) fie persoană împuternicită (data processor). Nu există controlor de date sau procesator de date, astea sunt furculition-uri făcute de amatori.

Sfatul meu pentru aceste firme: nu vre╚Ťi s─â fi╚Ťi operatori de date cu caracter personal. Vre╚Ťi s─â fi╚Ťi persoane ├«mputernicite, adic─â s─â prelucra╚Ťi aceste date ├«n numele operatorului de date cu caracter personal. Practic la contractul vostru de servicii ad─âuga╚Ťi o anex─â de prelucr─âri de date ├«n care se reg─âsesc ni╚Öte drepturi ale operatorului (dreptul de audit, dreptul la desp─âgubiri ├«n caz de buba, dreptul de a-╚Öi primi datele ├«napoi etc) dar ╚Öi obliga╚Ťii ale ├«mputernicitului (m─âsuri tehnice ╚Öi organiza╚Ťionale necesare asigur─ârii conformit─â╚Ťii la GDPR, informarea operatorului ├«n cazul ├«n care instruc╚Ťiunile nu sunt conforme cu GDPR, asisten╚Ťa ├«n caz de cereri de acces, asisten╚Ťa la DPIA etc). Se mai reg─âsesc obiectul, scopurile prelucr─ârilor, categoriile de persoane vizate ╚Öi de date personale precum ╚Öi instruc╚Ťiunile. Persoana ├«mputernicit─â nu are autonomie, doar operatorul are aceast─â independen╚Ť─â. Odat─â cu independen╚Ťa vine ├«ns─â ╚Öi responsabilitatea fa╚Ť─â de autorit─â╚Ťi ╚Öi fa╚Ť─â de persoanele vizate. Persoana ├«mputernicit─â r─âspunde ├«n fa╚Ťa operatorului ╚Öi a autorit─â╚Ťilor. Dar de obicei amenzile merg c─âtre operatori (de aici ╚Öi sfatul de mai sus).

Operatorul are dreptul de audit asupra opera╚Ťiunilor persoanei ├«mputernicite. Multe firme de dezvoltare nu au citit ce contracte au semnat cu clien╚Ťii multina╚Ťionali, dar dac─â dup─â ce citesc acest articol ├«╚Öi citesc contractele s-ar putea s─â descopere men╚Ťiuni cum c─â ├«n cazul ├«n care auditul g─âse╚Öte ceva ei pl─âtesc valoarea total─â a auditului (succes la un audit de 40.000 EUR), c─â desp─âgubesc clientul ├«n caz de buba f─âr─â niciun fel de negociere sau proces, c─â angajeaz─â avoca╚Ťi s─â conteste decizii ale autorit─â╚Ťii, angaja╚Ťi recomanda╚Ťi de c─âtre client (alte mii de EUR zbura╚Ťi etc). Sau c─â pun deoparte provizioane de sute/milioane de EUR pentru amenzi.

├Äns─â firmele de software development au ni╚Öte responsabilit─â╚Ťi uria╚Öe ÔÇô calitatea codului, securitatea produsului, m─âsurile tehnice ╚Öi organiza╚Ťionale, training-ul angaja╚Ťilor, testarea aplica╚Ťiei, pen-testing, criptarea datelor in-transit & at-rest etc. Exist─â ghiduri ╚Öi standarde ├«n industrie, nu intru ├«n detalii. Eu lucrez cu specifica╚Ťiile CCM de la Cloud Security Alliance pentru clien╚Ťii din zona SaaS.

A sosit momentul ca firmele de software development s─â ├«n╚Ťeleag─â c─â lucreaz─â cu date cu caracter personal ╚Öi s─â adopte m─âsurile necesare ├«nainte s─â vin─â amenzile alea ur├óte ╚Öi contractele pierdute cu clien╚Ťii ce da, chiar fac audituri (noi am participat deja ├«n c├óteva audituri).

Adaug─â un comentariu

Câmpurile marcate cu * sunt obligatorii! Adresa de email nu va fi publicată.