• Consultanta: Luni – Vineri 08:00 – 19:00.

14/10/2019

14/10/2019 Posted by: Category: Uncategorized No comments

GDPR si NIS aplicat împreună?

În ultima lună am primit mai multe invitații, să particip la cursuri, seminarii privind implementarea GDPR-ului. Ultimul a fost în domeniul Sănătății. Când am întrebat de ce vorbesc doar despre GDPR și nu și despre directiva NIS în același context, nu am primit răspuns.

După cum se știe, Directiva 679/2016 privind GDPR se aplică tuturor societăților, chiar dacă prelucrează doar datele angajaților, și NIS se aplică în unele domenii expres prevăzute de lege, domeniul sănătății intrând în această categorie, cu toate subdomeniile: pharma, medical, clinici private, distribuitorii de aparate medicale si toate domeniile conexe.

De asemenea celelalte domenii acoperă o mare parte din viața cotidiană comercială: energie, transporturi, operațiuni financiare (toate băncile, toate firmele de recuperări de creanțe, toate firmele mici care dau consultanță financiară, fiscală, etc.), apă potabilă, firmele care oferă servicii digitale (toate firmele de telecomunicații, firmele de IT), și nu în ultimul rând chiar daca nu intră în aceasta categorie toate firmele care utilizează servicii de cloud computing.

La nivel de implementare obiectivele Directivei NIS și Regulamentului GDPR se pot suprapune uneori, solicitând operatorilor să pună în aplicare măsuri de securitate bazate pe riscuri în cadrul acelorași documente.

Amândouă protejează interesele comerciale și personale, unul datele personale ale tuturor persoanelor fizice, cealaltă protejează securitatea rețelelor și a serviciilor IT.

Măsurile de securitate deja existente pentru GDPR nu vor fi suficiente pentru a se conforma prevederilor NIS, acestea trebuie extinse si completate, însă în cele ce urmează vom arăta cum se întrepătrund și cum se diferențiază prevederile celor două acte legislative europene:

Unele măsuri sunt comune:

  • Analiza/evaluarea datelor de securitate ale societăților poate fi făcută în cadrul aceluiași document;
  • Termenii si condiții, care sunt acceptate în momentul efectuării unei comenzi, aflându-se pe site-urile societăților;
  • Prevederile contractuale în toate modele de contracte pe care societatea le folosește;
  • Redactarea sau modificarea politicilor interne: la nivelul întregii societății sau la nivel de departamente;
  • Măsurile de detectare ale incidentelor privind NIS și GDPR;
  • Procedura de sesizare ale autorităților poate fi dezvoltat comun, chiar dacă sunt două autorități diferite;
  • Pregătirea personalului intern în cadrul training-urilor și accesul restricționat ale personalului necalificat la datele personale;

Altele se diferențiază:

  • Formularul de consimțământ trebuie să aibă toate elementele prevăzute de lege;
  • Preluarea prin criptare ale datelor personale ale persoanelor fizice;
  • Arhivarea datelor personale;
  • Modalitatea de informare ale persoanelor fizice privind prelucrarea, scopul, posibilitate de, retragere al consimțământului, etc;
  • Transferul datelor personale în afara Uniunii Europene;
  • Auditul de securitate a rețelelor și sistemelor informatice (auditorul și echipamentele de intervenție sunt autorizați CERT-RO);

Toate aceste măsuri trebuie să fie evidențiate într-un dosar privind implementarea GDPR și NIS.

Rolul DPO

Rolul DPO-ului va face subiectul unui articol mai amplu, în perioada următoare. In prealabil insa mentionez că din punctul meu de vedere aceeași persoană poate îndeplini cele două roluri, de persoană de legătură cu autorități, privind respectarea prevederilor.

Persoana nu trebuie sa fie același care implementează regulamentul și directiva. Rolul unui DPO, este doar de sesizare de autorități, verificări periodice lunare, modificare de politici, asigurarea îndeplinirii prevederilor la nivelul societății.

Datele acestei persoane însă trebuie comunicate autorităților de supraveghere (ANSPCD pentru GDPR, CERT-RO pentru NIS), și aici vorbim de o expunere personală, fiind contactul autorităților cu societatea. DPO-ul poate fi si o persoana desemnată din cadrul societății, dacă are studii juridice, și îndeplinește prevederile menționate de lege.

Nu recomand, o persoană care doar a studiat legislația, a obținut un certificat la un curs, fără să aibă studii juridice. Know-how-ul este foarte mare în momentul unui control, sau în momentul în care cele două acte legislative se întrepătrund și este nevoie de o analiză legislativă, o supraveghere și o auditare corectă.

 

 

 

 


Author: eniko