RGPD – Regulamentul general privind Protecția Datelor cu Caracter Personal este o chestiune care, cel puțin în ultimele șase luni, a devenit stringentă atât în România, cât și în Europa. V-ați gândit totuși ce implică exact acest regulament, cum vă influențează ca persoană fizică sau juridică?
Până în prezent este posibil să fi analizat deja activitatea companiei în ceea ce privește protectia datelor cu caracter personal și să fi implementat anumite reguli în conformitate cu GDPR, dar ați luat în considerare și activitățile cotidiane de nelipsit în ultimul timp, cum ar fi utilizarea aplicațiilor?
După marea breșă de securitate din cadrul Facebook care în 2014 a cumpărat WhatsApp cu 19 miliarde de dolari, am analizat această aplicație de mesagerie din perspectiva RGPD.
-
Conform noii reglementării din domeniul Protecției Datelor cu Caracter Personal care din data de 25 mai a acestui an se aplică direct în statele membre ale Uniunii Europene, persoanele vizate au următoarele drepturi:
- Acces: persoanele vizate sunt îndreptățite să solicite operatorului să le informeze dacă le prelucrează datele, iar în caz afirmativ să obțină detaliile prelucrării, precum și o copie a datelor deținute de operator;
- Exactitatea datelor: persoanele vizate sunt îndreptățite să solicite operatorului să completeze sau să corecteze orice date pe care le deține cu privire la acestea care sunt incomplete sau incorecte;
- Ștergerea datelor: persoanele vizate sunt îndreptățite să solicite operatorului ca în anumite condiții să șteargă datele acestora (Dreptul de a fi uitat);
- Restricționarea prelucrării: persoanele vizate sunt îndreptățite să solicite operatorului ca în anumite situații să suspende prelucrarea datelor lor;
- Portabilitatea datelor: persoanele vizate pot solicita operatorului să transfere datele lor către un alt operator;
- Opunere: daca operatorul prelucrează datele persoanelor vizate în baza interesului său legitim (sau al unei terțe persoane), acestea se pot opune unei astfel de prelucrări;
- Consimțământul: dacă operatorul prelucrează datele persoanelor vizate în baza consimțământului persoanelor vizate, acestea își pot retrage consimțământul oricând.
Față de aceste drepturi, respectarea RGPD de către WhatsApp este discutabilă din mai multe privințe, inclusiv în ceea ce privește dreptul de acces, dreptul de a fi uitat și portabilitatea datelor.
-
Astfel, este deja cunoscut, printre altele, că WhatsApp:
- transferă datele utilizatorilor (adică eventuali clienți ai companiei dumneavoastră) către SUA;
Acest lucru este în contradicție cu obligația impusă de RGPD de a nu transfera sau de a stoca date cu caracter personal în afara UE, cu excepția îndeplinirii anumitor condiții. În acest context, ar trebui remarcat faptul că legislația privind protecția datelor cu caracter personal din SUA nu impune un nivel adecvat de securitate, ceea ce înseamnă că nu se poate asigura o protecție adecvată a datelor clienților dumneavoastră. - agenda telefonică a unui utilizator cu toate datele de contact, inclusiv e-mailurile și numerele de telefon ale acestora, este transferată către WhatsApp și astfel către Facebook fără ca întreprinderea dumneavoastră să poată informa clienții cu privire la modul în care sunt gestionate aceste date și, prin urmare, să respecte dreptul de acces prevăzut de RGPD;
- colectează meta datele utilizatorilor și datele personale aferente, chiar dacă mesajele se consideră a fi criptate end-to-end, generând astfel profiluri de utilizatori și luând cunoștință de relațiile sociale fără a fi transparent cu privire la meta datele colectate, cum sunt procesate și către cine sunt acestea transferate și, prin urmare, conform cu RGPD.
Având în vedere aceste aspecte, unele companii au interzis deja angajaților lor folosirea WhatsApp, în timp ce altele au implementat aplicații de mesagerie profesionale și sigure.
În lumina celor de mai sus, puteți lua în considerare fie renunțarea la WhatsApp, fie implementarea unei aplicații de mesagerie pentru întreprinderi.
Față de prima opțiune, trebuie să vă asigurați că o interdicție a WhatsApp trebuie să fie fezabilă în compania dumneavoastră, din punct de vedere tehnic și organizațional, ceea ce înseamnă că nu este suficient să interziceți WhatsApp dacă angajații nu ar respecta o astfel de regulă. Cu toate acestea, există câteva opțiuni pentru a reduce riscul neconformității cu RGPD generate de utilizarea WhatsApp, cum ar fi separarea contactelor profesionale de cele personale pe care le oferă sistemele de operare mobile. Totuși această soluție nu este 100% sigură.
-
Cu toate acestea, dacă vă gândiți să implementați o aplicație de mesagerie pentru întreprinderi, trebuie să țineți cont, printre altele, de următoarele:
- dacă aplicația de mesagerie a întreprinderii stochează date în afara Uniunii Europene;
- dacă aplicația de mesagerie a întreprinderii asigură pseudonimizarea și criptează datele personale cât mai mult posibil;
- dacă aplicația de mesagerie a întreprinderii oferă o transparență deplină a politicii de securitate a datelor cu character personal și a termenilor de utilizare, prelucrare și stocare a datelor cu character personal.
În concluzie, este clar că WhatsApp nu îndeplinește cerințele de protecție a datelor conform RGPD, respectiv o întreprindere este considerată neconformă cu RGPD dacă utilizează WhatsApp în scopuri profesionale. Prin urmare, vă sugerăm să analizați cel puțin modul în care angajații dumneavoastră folosesc WhatsApp în scopuri profesionale, pentru a reduce riscul neconformității cu RGPD sau să implementați o aplicație de mesagerie pentru întreprinderi care asigură o protecție adecvată a datelor și respectă pe deplin RGPD.
Dacă vă gândiți să interziceți WhatsApp și/sau să implementați o aplicație de mesagerie pentru întreprinderi conformă cu RGPD, vă putem ajuta să adoptați astfel de măsuri în conformitate cu RGPD.