Cele mai eronate presupuneri despre GDPR

La mai puțin de 9 săptămâni de termenul de intrare în vigoare al GDPR, e de presupus că organizațiile ar fi în toiul pregătirilor.  Cu toate acestea, sunt anumite nuanțe în prevederile regulamentului care pot da naștere la unele greșeli de înțelegere, interpretare și respectiv aplicare. Iată cele mai frecvente greșeli – din experiența proprie de consultanță:

1. GDPR nu vi se aplică

Este aproape sigur că această presupunere va fi cea mai mare greșeală.  GDPR se aplică practic:

• Tuturor persoanelor juridice (societăți comerciale de orice mărime și formă juridică, instituții publice și organizații non profit) și
• Chiar și unor persoane fizice – dacă procesează date personale în alte scopuri decât cele personale sau domestice

Excepții menționate în regulament sunt autoritățile implicate în activități privitoare la prevenirea, anchetarea și urmărirea actelor penale, inclusiv prevenire amenințărilor la siguranța publică.

2. GDPR este un standard, nu o piedică

Deși GDPR impune multe obligații care pot părea covârșitoare, prin aplicarea sa rezultă aspecte favorabile desfășurării activității.  De pildă, standardele de securitate a informațiilor nu sunt o noutate și ele vor preveni și reduce considerabil incidente de securitate ce afectează nu numai datele personale ci și informațiile confidențiale.  La fel, prin analizarea și monitorizarea bazelor de date se pot obține avantaje prin eliminarea unor duplicate și reducerea spațiului de stocare, pe suport hârtie sau în format electronic.

3. Actualele practici sunt suficiente

Firmele care sunt înregistrate ca operatori de date personale își pot închipui că este suficient.  Această judecată este greșită din 2 motive. Unul, înregistrarea ca operator nu garantează în sine aplicarea unor măsuri efective și deci respectarea unor standarde.  Doi, actuala legislație (Directiva Europeană) a fost îmbogățită în mod considerabil de Regulament prin noi drepturi și obligații. Exemplele sunt multe de la dreptul de a fi uitat și până la condițiile impuse transferurilor de date.

4. Dependența completă de furnizorii de servicii

În mod normal, furnizorii de servicii IT sau juridice sunt interesați și vă vor ajută să respectați regulamentul.  Dar doar pe domeniul lor de expertiză. Responsabilitatea vă revine integral, ea nu poate fi delegată. Și mai mult, o sumedenie de aspecte privitoare la GDPR afectează activitățile proprii, interne, ne-externalizate.  În situația în care veți lăsa inițiativa schimbărilor doar la latitudinea unor furnizori de servicii, aceștia nu au cum să ia în considerare activitățile proprii și le vor amenda după propriul interes.

5. Ignorarea importanței documentării procesării

Regulamentul impune operatorilor și împuterniciților acestora să demonstreze respectarea obligațiilor – prin documentare.  Prin fișiere sau prin registre electronice, documentarea este în mod evident primul lucru la care se vor uita inspectorii.

6. Ignorarea disciplinei colectării datelor

Indiferent cât de bine utilați sunteți cu aplicații și registre, punctul de intrare al datelor personale are o importanță critică.  Din două puncte de vedere. Pe de o parte este esențială legalitatea colectării pe baza unuia din cele șase temeiuri legale acceptate.  Pe de altă parte este important să nu ignorați diversele modalități prin care colectați date: pe hârtie sau email, direct de la persoanele vizate sau prin intermediul unor aplicații pe site sau prin preluarea/cumpărarea dreptului de acces la baze de date.

7. Neînțelegerea limitării datelor și procesării acestora

Uneori prima reacție a unor organizații la auzul implicațiilor GDPR este de a refuza să mai colecteze date personale.  Nu despre asta e vorba în regulament. Nu există interdicția colectării și/sau procesării, ci doar obligația respectării și procesării în condiții de siguranță și confidențialitate a acestora.  Este adevărat că până acum nu multe organizații au dat atenție acestor aspecte considerând că datele personale sunt proprietatea lor și deci având dreptul să le proceseze fără ingerințe din afară.  Această atitudine este extrem de dăunătoare nu numai din perspectiva legislației, ci și din punctul de vedere al respectului pentru clienți, factor fundamental de succes comercial și deci profitabilitate.

8. Minimizarea importanței instruirii personale și a personalului

Efectele acestui regulament vor fi profunde și pe termen mediu prin schimbarea atitudinii unei întregi organizații.  Înțelegerea și aplicarea consecventă a conceptului de protecție a datelor personale nu trebuie sa fie doar apanajul și obligația unui grup de manageri.  Oriunde în organizație se pot întâmpla (sau provoca) incidente de securitate. Ca urmare ar fi ideal ca oriunde în organizație angajații să cunoască și să aplice noile proceduri și chiar să raporteze rapid și clar eventuale probleme.  Toate acțiuni în interesul organizației nu se pot concepe în absența unei instruiri generalizate pe tema protecției datelor personale.

9. Neapelarea la asistență specializată

GDPR reprezintă o noutate pentru toată lumea.  Unii însă au studiat mai mult și mai bine nu doar prevederile legale ci și impactul concret asupra activităților organizațiilor.  Există posibilitatea ca asistența “monocoloră” (IT sau juridică) să afecteze în mod negativ procesele de business cu consecințe negative nenecesare asupra eficienței și chiar rezultatelor financiare.  Prin apelarea la specialiști cu experiență de business acest risc de exagerare a unor aspecte ale GDPR în dauna viabilității modelului de business este mod cert redus considerabil. Prin apelarea la specialiști cu experiență de business  acest regulament poate conduce de fapt la alinierea eficientă a proceselor cu cerințele clienților și deci la competitivitate.