Cum îl convingem pe director că nu e de glumă cu GDPR?

Primul pas în demararea unui proiect de obținere a conformității GDPR este de înțelegere și conștientizare a importanței noii legislații europene, atât pentru organizația noastră, cât și pentru întreg ecosistemul de business în care suntem angrenați: angajați, furnizori, parteneri, clienți. Care e trista realitate? Cam 60% dintre managerii români se lasă greu convinși…

La nivel de organizație, conștientizarea vizează toți factorii de conducere și departamentele direct implicate în procesarea datelor cu caracter personal. Cei care iau decizii și oamenii cheie din organizație trebuie sa fie conștienți că legea se schimbă în GDPR. Ei au nevoie să aprecieze impactul eventualelor probleme de conformitate în cadrul GDPR. Ar fi util să începem examinând registrul de risc al organizației, dacă avem unul. Implementarea GDPR ar putea avea implicații semnificative asupra resurselor, în special pentru organizațiile mai mari și mai complexe. S-ar putea să descoperiți că este dificil dacă îți lași pregătirile până în ultima clipă…

De ce e importantă Conștientizarea importanței GDPR? Pentru că, deși cele mai multe componente ale GDPR se regăsesc și în legislația actuală, noua reglementare europeană vine cu o serie de noi prevederi care pot schimba dramatic cursul firesc al unui business, în cazul în care nu sunt tratate cu toată considerația.

Cine sunt responsabilii de business interesați de GDPR?

Protecția datelor nu este doar o responsabilitate a departamentului IT, ci trebuie luată în serios la cel mai înalt nivel și în departamentele implicate în procesarea datelor personale, precum cel juridic, resurse umane, financiar, marketing & vânzări, toate acestea în strânsă colaborare cu cel de IT.

Prin natura prevederilor, în orice organizație factorii responsabili de bunul mers al implementării GDPR trebuie să fie reprezentanți de top sau delegați pentru fiecare dintre departamentele. Selecția se face de obicei pe bază de organigramă împreună cu reprezentantul HR și management:

  • Top management – un director executiv sau operațional care coordonează managerial activitatea Grupului de lucru GDPR. De ce e important reprezentantul managerial? Pentru ca acesta trebuie să capaciteze structura de top pentru aprobarea întregului proiect de conformitate: bugete, resurse umane, DPO, operațiuni, etc.
  • HR – un director de resurse umane sau un delegat responsabil de conformitatea administrării datelor personale ale angajaților (actuali, foști și cei în curs de angajare). Indiferent de natura activității companiei, departamentul HR are întotdeauna rol de operator al datelor personale ale angajaților.
  • Financiar-Contabilitate – responsabilități în strânsă legătură cu HR, prin datele despre salarizare, dar și un rol important în stabilirea și gestionarea bugetelor.
  • Departamentul juridic – ”oamenii legii” din companie sunt primii care trebuie sa asigure generarea și coerența activităților legate de adoptarea unui plan de acțiune, în acord cu legislația. Juriștii trebuie să explice legea tuturor departamentelor implicate și trebuie să supervizeze actualizarea contractelor de angajare sau a fișelor de post în concordanță cu prevederile GDPR, dar și cu legislația muncii. Juridicul are un rol important și în situația apariției incidentelor, gestionând relațiile legislative ale companiei cu forurile și autoritățile competent
  • Marketing & Sales – un director, reprezentant al departamentului de marketing +/- vânzări. Prin relația directă cu clienții și partenerii, departamentul de marketing e direct răspunzător de toate activitățile de promovare și CRM, cu tendința către PLM.
  • Departamentul IT – în funcție de mărimea companiei și existența posturilor respective, implică CTO, CIO, CSO și toți membrii care au o certificare legată direct de protecția și securitatea datelor.
  • Departamentul de calitate – pentru companiile care au implementat o certificare sau un standard de calitate. Mulți spun că prin poziția și competențele sale, directorul de calitate – acolo unde există – este cel mai apropiat de poziția de DPO, pentru că știe totul despre companie, organizare, procese de business, fluxuri de date, organigrama, resursele tehnice, etc.
  • Candidatul pentru DPO – acolo unde este cazul, se alege / stabilește dintre membrii acestei echipe, în funcție de nivelul de experiență. Nu este o regulă, dar pentru organizațiile mari se recomandă alegerea unui DPO Adjunct, cu rolul de a prelua coordonarea activităților esențiale în cazul indisponibilității DPO titular.
  • Specialiști externi – din oricare domeniu cu competențe de consultanță și consiliere.

Cum conștientizăm echipa de implementare GDPR?

Există și aici o serie de pași și de proceduri pe care trebuie să le abordăm:

  • Plan coerent de discuții, înțelegere și interpretare a prevederilor GDPR în funcție de profilul și mărimea companiei.
  • Prezentări de conștientizare cu șefi de departamente și la nivelul fiecărui departament direct implicat în procesarea datelor personale.
  • Fiecare membru al echipei de implementare trebuie să înțeleagă rolul său individual și colectiv pentru bunul mers al lucrurilor.

Din păcate, așa cum se poate constata în peisajul nostru actual de business, doar 4 din 10 manageri sunt conștienți de importanța și de impactul GDPR asupra afacerilor pe care le administrează. Cei mai mulți se lasă greu convinși de către un director de resurse umane sau de IT și lasă pe seama acestora responsabilitatea agregării unei echipe sau numirea unui responsabil e proiect. Pe de altă parte, nici în rândul acestor echipe nu există același nivel de implicare. Indiferent de departament, vechime și pregătire, toți membrii echipei de implementare GDPR trebuie să vorbească aceeași limbă și să participe la elaborarea și urmărirea planului comun de acțiune.

Conținutul acestui articol a fost publicat și în ”Ghidul practic GDPR” din cea de-a doua ediție a Catalogului GDPR apărut în martie 2018

Advertisements

About Radu Crahmaliuc
Independent IT&C analyst, GDPR advisor, digital transformation & Cloud computing evangelist, start-ups developer, eBooks author, freelancer, storyteller, events moderator & keynote speaker

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: