GDPR si domeniul IT

Question

Discuție deschisă în Dreptul, calculatorul meu şi internetul

GDPR si domeniul IT

Utilizator 16:05, 30 August 2018

Buna ziua.

As vrea sa clarific cateva aspecte legate de domeniul IT si aplicarea regulamentului de protectie a datelor in acest domeniu.
In compania unde lucrez, adresele de e-mail ale angajatilor sunt de forma nume.prenume@domeniucompanie.ro. In acest caz sunt ele considerate date personale?

Mai mult, fiecare angajat are o semnatura electronica ce contine numele si prenumele, numarul de telefon la care acesta poate fi contactat (telefonul companiei).
Aceasta semnatura se ataseaza la toata corespondenta pe care o poarta angajatul atat intern cat si extern cu clientii nostri.
Mentionez ca toata corespondenta se afla pe serverul companiei si din motive legitime la informatiile de pe server se face copie de siguranta zilnic si saptamanal se face backup pe banda/DVD/CD.
Considerand acest aspect, in momentul in care un fost angajat solicita, in baza dreptului de stergere / uitare prevazut in GDPR, stergerea datelor sale personale, este nevoie sa stergem/distrugem
fizic CD/DVD/banda pe care s-a facut backup-ul? Ca si exemplu, daca un angajat a lucrat la noi 10 ani, asta inseamna aproximativ 520 DVD-uri, benzi sau CD-uri care trebuie refacute.
In acelasi timp imi un problema daca nu cumva ar trebui sa solicit stergerea datelor personale inclusiv de la clientii nostri. Aceasta implica costuri la fel de mari si din partea clientilor.

Mai mult decat atat, daca angajatul a lucrat ca inginer suport si a rezolvat probleme pentru clientii nostri in aceasta perioada (10 ani), probleme inregistrate in baza de date a sistemului nostru de ticketing ,
fiecare ticket continand numele si semnatura angajatului. Pentru aceasta baza de date se face backup zilnic, in cei 10 ani rezultand 3650 de DVD/Benzi/CD-uri.
In cazul in care fostul angajat solicita stergerea datelor cum ar trebui sa procedam? Calculele sunt pentru un fost angajat, dar e posibil sa primim mai multe cereri de acest tip si in acest caz costurile sunt mult mai mari.

Va dati seama ca daca un angajat mai foloseste informatiile de pe un share point, costurile cresc exponential. Daca foloseste un sistem de change management cu tascuri si documente livrate pentru fiecare dintre ele,
fiecare document continand numele angajatului (de exemplu, fisiere de tip sursa cod in C, C++) unde pe partea de versionare apare numele angajatului care a creat versiunea respectiva de document, in acest caz impactul este si
mai mare dar este vital pentru companie sa stie cine a adaugat o noua versiune (ce imbunatatiri s-au adus precedentului document, daca documentul a fost creat de un incepator, daca a fost revizuit si cu cine a fost revizuit etc.).

Un alt exemplu ar fi logurile de tip firewall in care se face inregistrarea datelor esentiale in ceea ce priveste accesul la internet sau, vital pentru companie, asigurare suport si mentenanta la distanta pe serverul unui client.
Inregistrarile se fac si de o parte si de cealalta (la client) iar accesul se face cu numele de utilizator de forma nume.prenume, pe baza IP-ului statiei angajatului si pe baza unei parole. Acestea identifica in mod unic angajatul companiei.
Daca clientul nostru e in Europa, sa zicem ca nu e o problema deoarece trebuie sa se conformeze GDPR. Ce ma fac daca am clienti in USA, Asia sau Africa si un fost angajat imi cere sa sterg datele sale personale?
O sa spuneti ca acest aspect trebuie acoperit prin contract,
eu va raspund ca o astfel de clauza atrage anumite costuri care trebuie suportate de cineva.

Asadar, cererile de tip stergere date personale care nu sunt cuprinse in mod expres in lege dar sunt vitale pentru companie aduc costuri uriase.
Poate pentru o corporatie mare acestea nu sunt semnificative, dar pentru o companie cu pana la 10 angajati aceste costuri pot avea impact major, ele implicand si resurse umane ceea ce poate bloca functionarea unei astfel de companii.

Din punctul meu de vedere, aceste date ar trebui sa nu fie considerate ca fiind date personale sau macar sa se supuna unor exceptii de la GDPR (spre exemplu dreptul de stergere).

Din ce am citit, in unele situatii se poate cere ca aceste servicii sa fie platite de catre cel care solicita stergerea datelor personale. Este aceasta o solutie?

Multumesc pentru raspuns.

Răspunde Citează

4 mesaje

476 vizualizări

2 participanți

Cel mai recent răspuns: , utilizator 08:40, 31 August 2018

Vezi răspuns

~ final discuție ~

Alte discuții în legătură

Newsletter de la care nu ma pot dezabona Am auzit din diverse surse ca cica cei care transmit newsletter-e ar fi obligati sa includa in mesaj o modalitate de dezabonare. Ce pot sa fac (altceva ... (vezi toată discuția)

Gdrp si incetare cim Buna ziua, in ce masura afecteaza GDPR-ul incetarea contractului individual de munca? Exemplu concret: fostul angajat imi solicita imediat dupa incetare CIM sa ... (vezi toată discuția)

Buna ziua, a-și dori sa deschid o firma pentru a face comerț ... Buna ziua, a-și dori sa deschid o firma pentru a face comerț online!am 3 proptiri pe salar acum fiind angajat....întrebarea mea este pot deschide o firma in ... (vezi toată discuția)

adriandimitriu Utilizator · Answer 1 · 2018-08-30 18:48:21

pai asta e o cerere de consultanta in toata regula! asa ca voi raspunde doar partial:
- puteti sa anonimizati identificatorii personalului care nu mai este in firma. din ce scrieti, aveti resursele necesare.
- cat despre solicitarea de contravaloare a serviciilor de stergere, este exclus: punctul 59 din preambul e clar.
- restul costurilor, sunt suportate, ca peste tot, de clienti

ioan.acalfoaie Utilizator · Answer 2 · 2018-08-30 21:48:10

Stimate domn,

Anonimizarea identificatorilor nu rezolva problema cata vreme exista semnatura. Mai mult decat atat, ce incerc sa spun e faptul ca si anonimizarea o faci dupa un algoritm astfel incat discutiile sa poata fi urmarite in timp. Daca voi considera acest aspect s-ar putea ca indirect sa pot identifica angajatul/fostul angajat/clientul pornind de la acel identificator anonim si sa am aceeasi problema.

Pe de alta parte nu exista nici o solutie pe piata care sa caute in toate casutele de e-mail si sa faca anonimizarea de care povestiti. Spre exemplu daca eu trimit un mesaj dumneavoastra si la o lista intreaga (grup) si fiecare din lista a primit mesajul cu datele personale atunci trebuie sa ma duc peste tot sa fac anonimizarea.. Daca imi si raspund cei din lista la care am trimis -mailul cu reply catre toti cei implicati in discutie atunci am o problema si mai mare (datele personale sunt in n casute de e-mail), daca cineva din lista redirectioneaza catre cineva conversatia atunci problema creste si mai mult, daca mesajele sunt pe acelasi server de e-mail inca e bine dar daca au plecat la client si/sau sant pe alt server (eventual in alta tara) nu prea mai am sub control acest aspect.

Anonimizarea si pseudo-anonimizarea sunt date ca solutii deci ce imi spuneti nu e nimic nou.

Cat despre punctul 59 la care faceti referire, eu prefer articolul 12 din GDPR unde scrie clar ca nu se tarifeaza aceste servicii dar exista si exceptii.

Cat despre consultanta, am experiente destul de neplacute cu tot felul de consultanti care imi repeta textul legii asa cum l-a inteles el,ori acest lucru nu ma ajuta cu nimic. Concluzia mea este ca un consultant nu iti da solutii.

adriandimitriu Utilizator · Answer 3 · 2018-08-31 08:40:53

Domnule,

GDPR-ul este o chestie care se adreseaza in primul rand politicilor de personal si comerciale. Daca managementul firmei dvs doreste sa reduca asta la o chestie pur tehnica, atunci ceea ce spuneti e perfect adevarat, principala vulnerabilitate a unui sistem computerizat constand din personalul care il opereaza. Dar asta o stiati deja.
Cat despre consultanti, cautati printre cei de securitatea informatiei (ISO 27001, ISACA, etc.). Evident ca indiferent ce veti face, responsabilitatea va fi 100% a companiei