La mai puțin de 9 săptămâni de termenul de intrare în vigoare al GDPR, e de presupus că organizațiile ar fi în toiul pregătirilor. Cu toate acestea, sunt anumite nuanțe în prevederile regulamentului care pot da naștere la unele greșeli de înțelegere, interpretare și respectiv aplicare. Iată cele mai frecvente greșeli – din experiența proprie de consultanță:
Este aproape sigur că această presupunere va fi cea mai mare greșeală. GDPR se aplică practic:
Excepții menționate în regulament sunt autoritățile implicate în activități privitoare la prevenirea, anchetarea și urmărirea actelor penale, inclusiv prevenire amenințărilor la siguranța publică.
Deși GDPR impune multe obligații care pot părea covârșitoare, prin aplicarea sa rezultă aspecte favorabile desfășurării activității. De pildă, standardele de securitate a informațiilor nu sunt o noutate și ele vor preveni și reduce considerabil incidente de securitate ce afectează nu numai datele personale ci și informațiile confidențiale. La fel, prin analizarea și monitorizarea bazelor de date se pot obține avantaje prin eliminarea unor duplicate și reducerea spațiului de stocare, pe suport hârtie sau în format electronic.
Firmele care sunt înregistrate ca operatori de date personale își pot închipui că este suficient. Această judecată este greșită din 2 motive. Unul, înregistrarea ca operator nu garantează în sine aplicarea unor măsuri efective și deci respectarea unor standarde. Doi, actuala legislație (Directiva Europeană) a fost îmbogățită în mod considerabil de Regulament prin noi drepturi și obligații. Exemplele sunt multe de la dreptul de a fi uitat și până la condițiile impuse transferurilor de date.
În mod normal, furnizorii de servicii IT sau juridice sunt interesați și vă vor ajută să respectați regulamentul. Dar doar pe domeniul lor de expertiză. Responsabilitatea vă revine integral, ea nu poate fi delegată. Și mai mult, o sumedenie de aspecte privitoare la GDPR afectează activitățile proprii, interne, ne-externalizate. În situația în care veți lăsa inițiativa schimbărilor doar la latitudinea unor furnizori de servicii, aceștia nu au cum să ia în considerare activitățile proprii și le vor amenda după propriul interes.
Regulamentul impune operatorilor și împuterniciților acestora să demonstreze respectarea obligațiilor – prin documentare. Prin fișiere sau prin registre electronice, documentarea este în mod evident primul lucru la care se vor uita inspectorii.
Indiferent cât de bine utilați sunteți cu aplicații și registre, punctul de intrare al datelor personale are o importanță critică. Din două puncte de vedere. Pe de o parte este esențială legalitatea colectării pe baza unuia din cele șase temeiuri legale acceptate. Pe de altă parte este important să nu ignorați diversele modalități prin care colectați date: pe hârtie sau email, direct de la persoanele vizate sau prin intermediul unor aplicații pe site sau prin preluarea/cumpărarea dreptului de acces la baze de date.
Uneori prima reacție a unor organizații la auzul implicațiilor GDPR este de a refuza să mai colecteze date personale. Nu despre asta e vorba în regulament. Nu există interdicția colectării și/sau procesării, ci doar obligația respectării și procesării în condiții de siguranță și confidențialitate a acestora. Este adevărat că până acum nu multe organizații au dat atenție acestor aspecte considerând că datele personale sunt proprietatea lor și deci având dreptul să le proceseze fără ingerințe din afară. Această atitudine este extrem de dăunătoare nu numai din perspectiva legislației, ci și din punctul de vedere al respectului pentru clienți, factor fundamental de succes comercial și deci profitabilitate.
Efectele acestui regulament vor fi profunde și pe termen mediu prin schimbarea atitudinii unei întregi organizații. Înțelegerea și aplicarea consecventă a conceptului de protecție a datelor personale nu trebuie sa fie doar apanajul și obligația unui grup de manageri. Oriunde în organizație se pot întâmpla (sau provoca) incidente de securitate. Ca urmare ar fi ideal ca oriunde în organizație angajații să cunoască și să aplice noile proceduri și chiar să raporteze rapid și clar eventuale probleme. Toate acțiuni în interesul organizației nu se pot concepe în absența unei instruiri generalizate pe tema protecției datelor personale.
GDPR reprezintă o noutate pentru toată lumea. Unii însă au studiat mai mult și mai bine nu doar prevederile legale ci și impactul concret asupra activităților organizațiilor. Există posibilitatea ca asistența “monocoloră” (IT sau juridică) să afecteze în mod negativ procesele de business cu consecințe negative nenecesare asupra eficienței și chiar rezultatelor financiare. Prin apelarea la specialiști cu experiență de business acest risc de exagerare a unor aspecte ale GDPR în dauna viabilității modelului de business este mod cert redus considerabil. Prin apelarea la specialiști cu experiență de business acest regulament poate conduce de fapt la alinierea eficientă a proceselor cu cerințele clienților și deci la competitivitate.
Ce frumoasă și ușoară ar fi viața angajatorilor dacă nu ar trebui să-și facă deloc griji cu privire la integritatea…
Cu un temerar optimism, firmele mici și mijlocii sunt încredințate că amploarea cerințelor GDPR și a amenzilor aferente nu reprezintă…
Responsabilul cu Protecția Datelor (DPO): personajul inedit introdus de GDPR despre care s-a discutat mult și s-a acționat mult mai…
Breșele de securitate sunt în imensa majoritate a cazurilor considerate a fi produse de hackeri necunoscuti. Realitatea statistica contrazice ferm…
Institutiile medicale de stat sau private sunt in mod special vulnerabile in fata cerintelor complexe ale protectiei datelor personale din…
Zilele se scurg din ce în ce mai repede spre un verdict din ce în ce mai probabil: “no deal…
Acest site foloseste module cookie.