GDPR

Dimensiunea umană a GDPR-ului

Tudor Galoș

Tudor Galoș

Tudor Galoș a fost director de marketing pe consumer la Microsoft România vreme de șase ani și înainte de asta s-a ocupat de business-ul de Windows și Office pe România, Bulgaria și Europa de Sud-Est, fiind responsabil de lansări precum Windows Vista, Windows 7, Windows 10, Office 2003, Office 2007, Office 365 și multe alte produse și servicii. A lucrat cu firme mici, medii și mari din întreaga Europă. Din Septembrie 2017 coordonează propriul său business, Tudor Galos Consulting cu focus pe consultanța de business și management în zona start-up-urilor, a spin-off-urilor și a transformării digitale. Tudor privește alinierea la GDPR ca pe un proiect de transformare digitală ce începe cu oamenii – modul în care ei învață, înțeleg și adoptă importanța datelor personale și a respectării lor în toți pașii unei procesări.

 

GDPR este în primul rând despre oameni și despre drepturile lor referitoare la modul în care datele lor personale sunt procesate.

Observ în ultimele luni o efervescență a subiectului GDPR în presă, în conferințe, în prezentări, pe net, peste tot. Oriunde întorci capul, GDPR. Amenzi uriașe, apocalipsa datelor personale, nu mai poți face nimic, pe toate le-am auzit. Este bântuit spațiul public de mituri, de anti-mituri ce invalidează aceste mituri și care creează alte mituri, de foarte, foarte multă speculă – atât în presupuneri cât și în bani (a explodat piața de consultanți, ce mai). Nu m-aș mira ca dacă deschizi o cutie de acatiste la biserică să găsești acolo câteva pomelnici de ferire de audit GDPR sau să vezi la vrăjitoare în lista de „competențe” pe lângă descântec și scos de argint viu și un „vrajă să te scape de GDPR”.

Toată această efervescență este în jurul amenzilor și a măsurilor organizatorice și de securitate ce trebuie luate. Aproape toți vendorii de tehnologie s-au îmbulzit să creeze metodologii, produse, abordări, recomandări, documente și recomandări – multe utile, multe inutile, multe complet și total greșite (paradoxul face ca mulți din acești vendor să nu implementeze mai nimic legat de GDPR în organizație). Însă foarte puțină lume vorbește de ce este cel mai important într-un proces de conformitate cu niște regulamente: de dimensiunea umană.

Au americanii o expresie: “guns don’t kill people; people do”. Cam așa și aici – poți avea cele mai bune proceduri interne, de securitate, cele mai bune procese, produse, tehnologii implementate, cele mai frumoase documente interne, portaluri, etc că dacă nea Nelu de la operațiuni vrea să scoată niște date personale își va scoate telefonul și își va poza ecranul monitorului trecând peste absolut toate procedurile atent dezvoltate de organizație. De aceea, aici trebuie lucrat cel mai mult. Și paradoxal, aici se lucrează cel mai puțin…

Ca să îți faci angajații și partenerii să accepte conformitatea la GDPR trebuie să îi faci să creadă în GDPR. GDPR este în primul rând despre oameni și despre drepturile lor referitoare la modul în care datele lor personale sunt procesate. Aș face o paralelă aici cu o bancă ce are casete valorice. Clienții vin și își depozitează bunuri în acele casete valorice, iar banca nu poate să facă cu acele casete valorice ce vrea, poate să facă doar ce este lăsată de către clienți. Nu poate cotrobăi prin ele, nu poate scoate, nu le poate strica. Similar și aici, organizația nu „are” date personale, ci este un custode al unor bunuri ale unor oameni. Bunuri pe care le poate procesa în limitele admise de către persoane, fie prin interes legitim, fie prin interes vital, fie prin consimțământ etc. Oamenii își pot retrage oricând aceste bunuri și le pot da altcuiva. Este dreptul lor!

Practic angajații trebuie educați și ei să își exercite drepturile în raport cu alți procesatori – nimănui nu îi place să fie bombardat de spam, nimănui nu îi place să fie sunat la telefon la ore aiurea de ceva call-center fără să existe o justificare obiectivă etc. Fiecare are dreptul să afle ce date ține un operator despre el, inclusiv dacă l-a inclus în categorii jignitoare gen „sărac”, „prost”, „fraier” etc – și da, sunt companii ce de amuzament au inclus aceste categorii prin diverse Excel-uri uitate pe diverse servere. Odată aceste drepturi înțelese oamenii au șansa ca cerând respect, să ofere respect. Să își dea seama chiar ei cât de importante sunt aceste date personale și să înțeleagă vechiul proverb – „ce ție nu-ți place altuia nu-i face”.

Închei spunând că alinierea la GDPR nu este un „one-time project” – oamenii vin și pleacă, vor intra noi angajați, noi parteneri, vor apărea noi oportunități de business – și toate trebuie abordate având respectul pentru datele personale în prim plan. Succes la implementare!

 Acest articol a fost publicat în ”Ghidul Practic GDPR” din cadrul Catalogului Cloud Computing, ed. a 8-a, București, martie 2018, pag. 66-67. 

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.