REGULAMENTUL EU GDPR ESTE DESPRE DREPTURILE CETĂȚENILOR:
 

· Să își primeasca datele cu caracter personal într-un format standardizat;

· Să refuze profilarea de către companiile cu care interacționează

· Să fie uitat de sisteme/newsletter/sms-uri/reclame pe orice mediu

· Să ceară ștergerea datelor cu caracter personal deținute de companii, dacă acestea nu mai corespund scopului prelucrării.

· Să ceară daune interese companiilor care îi procesează datele, dacă dreptul la protecția datelor personale îi este încălcat.

Peste 9.5 milioane de conturi Facebook în România, peste 40 de mii de pagini Facebook, peste 1 trilion de poze într-un an. Sunt doar câteva statistici care ne pot da o idee despre posibilitățile infinite ca datele dumneavoastră personale să nu mai fie chiar atât de personale.

Setul nou de reguli ce reglementează confidențialitatea și securitatea datelor cu caracter personal, stabilite de Comisia Europeană, pe scurt EU GDPR, va intra în vigoare pe 25 Mai anul curent și, deși au impact operațional asupra companiilor, ele sunt concepute pentru protecția drepturilor și libertăților cetățenilor.

Gandiți-vă la bonul fiscal. Este dreptul cetățenilor să îl primeasca, iar compania de unde cumpăra produsul a trebuit să întreprindă o serie de acțiuni pentru aceasta. Contract cu banca, achiziția POS-ului, contract cu furnizorul de internet, instruirea personalului ș.a.m.d.

GDPR Impune companiilor schimbări în practicile de prelucrare a datelor și reproiectarea proceselor economice.

Schimbarea trebuie să apară întâi în mentalitate. Fiecare dintre noi suntem subiectul acestui set de reguli. Directorul general al unei companii are responsabilitatea implementării GDPR în compania pe care o conduce pentru clienți, furnizori și angajați și trebuie să dovedească, cu probe, respectarea principiilor. Operatorul – organizația care determină scopul prelucrării, trebuie să se asigure că și partenerii de afacerii care prelucrează date personale respectă cerințele GDPR. Din păcate treaba cu schimbatul mentalității durează.

Evident că există și amenzi pentru companiile ce nu sunt conforme, care pot merge până la 4% din cifra de afaceri globală, sau 20 milioane de euro, fiind aleasă suma cea mai mare. Să presupunem că ești într-o industrie în care marja de profit este de 4%. Și că cifra ta de afaceri este 10 milioane de euro. Tehnic amenda pe care o poți primi pentru nonconformitate cu GDPR poate fi 20 milioane de euro.

Acum că știm măcar în mare despre ce este vorba, haideți să vedem ce e de făcut.

Avem două variante de acțiune:

1.  Ne apucăm împreună cu personalul din companie să studiem regulamentul 2016/679. Pe site-ul ANSPDCP există chiar și un ghid orientativ de aplicare a Regulamentului privind Protecția Datelor destinat operatorilor. Dacă nu avem competențele necesare e posibil să dureze mult până să reușim implementarea corectă. Pe lîngă Regulament trebuie citite toate opiniile și ghidurile WP29 (grupul delucru care explică conținutul GDPR) iar acestea nu sînt deloc puține.

2.      Apelăm la companii care au experiența și competențele necesare furnizării unei soluții care, deși urmează aceleași etape generale, poate fi personalizată pe industria sau mărimea companiei.

Dacă vă imaginați că este complicat, ei bine nu greșiți. Pentru că protecția datelor este un proces care implică persoane, procese și tehnologie. Cu alte cuvinte dacă vă gândiți că delegați aceasta sarcină către departamentul de IT (că doar ei se ocupă de tot ce înseamnă parole și conturi într-o companie) nu veți rezolva nimic.
Nici dacă îl pasați către departamentul de PR sau Juridic nu veți avea rezultatele scontate. Adevărul este că Regulamentul EU GDPR este cea mai importantă schimbare a reglementării privind confidențialitatea datelor în 20 de ani!

Și fie că încercați să puneți la punct singuri totul, fie că apelați la serviciile unei companii abilitate, nu există doar un departament implicat. Este responsabilitatea unei echipe întregi.

Avem nevoie de programe de conștientizare și educare a resursei umane din companie. Și trebuie schimbată cultura organizațională. Și în unele cazuri, va trebui să angajati un DPO (Data Protection Officer), ocupația inclusă în luna noiembrie în COR.

Partea de procese trebuie modificată astfel încat colectarea să fie justificată și explicată și în același timp  trebuie estimate riscurile și impactul asupra protecției datelor. Vor trebui definite procese de raportare a incidentelor, apoi făcute teste și evaluări.

Va trebui probabil să audităm și să actualizăm partea de IT și tehnologie. Sunt multe companii pentru care serverul înseamnă un computer mai slăbuț, că nu este nevoie de mai mult. Sau care folosesc software piratat.

Persoane, procese și tehnologie. Investiție de timp și bani. (Mai mult ca o concluzie)

CEI PATRU PAȘI GENERALI

Pasul 1 – Identificarea datelor

Trebuie să cunoașteți ce date sunt colectate. De ce? De unde? Cum se procesează și cine are acces? Cât timp le păstrați? Când și către cine se transferă?

Pasul 2 - Gestionează – controlează cum se utilizează datele cu caracter personal.

Care sunt rolurile implicate în prelucrarea datelor? Ce politici și proceduri guvernează prelucrarea? Unde se află datele prelucrate?

Pasul 3 – Protejează. 

Măsurile administrative nu sunt suficiente.Pentru acest pas avem nevoie de măsuri tehnice și organizaționale pentru prevenirea accesului neautorizat, pierderii sau distrugerii, divulgării din greșeală.

Pasul 4 – Raportează.

Aici e vorba despre transparență. Trebuie să putem sa dăm informații despre cum operăm si procesam datele personale dar și detalii despre documentația care definește procesele și utilizarea acestora. Avem nevoie de documente de evidență a scopurilor procesării, a categoriilor de date personale, a identității terților către care facem transferul, a măsurilor organizaționale și de Securitate. De asemenea este foarte important să avem evidența cu țările (dacă este cazul) care primesc date personale. Aici trebuie menționat faptul că nu contează daca aveți o companie care este în UE. Dacă operați date personale ale unor cetățeni din UE compania dumneavoastră se supune GDPR. Pentru asta există instrumente de audit, care pot ajuta la asigurarea că orice prelucrări de date - fie că sunt colectate, utilizate, partajate sau nu - sunt urmărite și înregistrate.  

Sintetic EU GDPR ar arăta așa:

Mai jos avem reprezentarea grafică a capitolelor legate de legalitatea prelucrării datelor, și articolele din lege cu referire la acestea.

ASBIS Romania are partenerii, producatorii si solutiile potrivite pentru a accelera adoptarea si implementarea Regulamentului EU GDPR in compania ta:

- Programe de conștientizare și educare a resursei umane din companie legat de EU GDPR

- Solutii Microsoft

- Solutii BlackBerry Software

- Solutii Storagecraft.

Dacă nu ați început deja procesul de implementare, nu mai amânați!

Paul Belcin vă stă la dispoziție pentru detalii: paul.belcin@asbis.ro, +4 0745 751 825.