AM UN IMM: CUM MA POT ALINIA LA GDPR?

DEDICAȚIE

Închin acest articol unui prieten bun care de peste 25 de ani s-a dedicat promovării tehnologiei informației. Imaginea lui Romi Maier se suprapune practic cu istoria presei de IT din Romania. O presă de calitate, fără de care nu s-ar fi vorbit de o industrie IT în România. O pierdere inegalabilă pentru familie, pentru prieteni, pentru presă și pentru industrie. Drum bun, Romi, și pacea fie cu tine…


De la bun început mulți considerau IMM-urile ca victime sigure ale GDPR, prin lipsa posibilităților de investiții în softuri sofisticate de criptare și de protecție sau în ore scumpe pentru servicii de audit și consultanță… Dar ceea ce mulți nu au luat în considerare, este că de multe ori ca IMM ne putem descurca mult mai bine într-un proiect de reorganizare, investiții și aliniere.

Mărimea nu mai contează…

Regulamentul are ca principală menire schimbarea modului în care orice organizație obține și administrează datele personale. Chiar dacă majoritatea articolelor și procedurilor din Regulament au în vizor modul în care marile companii administrează datele prelucrate, micile organizații precum micro-întreprinderile sau persoanele fizice sunt obligate în egală măsură să dovedească respect pentru prelucrarea datelor personale.

GDPR se aplică organizațiilor de orice dimensiune, în cazul în care prelucrarea datelor are loc în mod regulat sau dacă procesarea include categorii speciale de date definite în articolul 9 din GDPR. Acest lucru reiese chiar din definițiile Operatorului și Procesatorului de date personale.

Conform GDPR, Art.4.7. “Operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile şi mijloacele de prelucrare a datelor cu caracter personal;

Conform Art.4.8. “Procesator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele Operatorului;

Chiar și un consultant sau o persoană fizică autorizată care procesează în mod constant și regulat date personale și date personale cu caracter special poate avea rol de operator de date personale sau de procesator, în funcție de tipul de activitate executată. Dacă există tipuri de servicii în care se stabilesc scopul și mijloacele, specialistul individual poate avea rol de operator asociat în relațiile cu clienții săi. Dacă există tipuri de activități în care specialistul individual execute doar operațiuni solicitate de clienții săi, în acest caz are rol de procesator de date personale, cu toate răspunderile care revin unei asemenea poziții.

Prelucrăm date personale? Deci nu avem încotro…

Chiar dacă nu dispunem de fondurile celor mari, ca manageri ai unei companii mici, suntem direct răspunzători de continuitatea afacerii și implicit suntem dispuși să și investim.  Într-o companie mică, ca întreprinzător suntem și sponsor și șef de proiect. Și sunt mai capabil și mai interesat să îmi aleg cea mai bună și mai eficientă echipă, care de multe ori îi include pe toți ceilalți angajați.

Sunt mai expuse companiile mici la atacuri cibernetice decât cele mijlocii sau mari? Teoretic așa ar trebui să fie, pentru că nu dispunem de infrastructura la care ceilalți au acces. Un studiu Juniper Research apreciază că peste jumătate din IMM-urile din țările UE consideră că sunt în siguranță față de atacurile cibernetice, dar jumătate din acestea au suferit o încălcare a datelor. În acest context, necesitatea de a proteja mai eficient datele cu caracter personal nu a fost niciodată mai evidentă, chiar și la nivel de IMM.

GDPR consolidează protecția informațiilor personale. Indiferent de mărime, toate companiile care își desfășoară activitatea în UE au acum obligația să colecteze, să stocheze și să utilizeze informațiile cu caracter personal într-un mod mai sigur. Deși există puține domenii în care IMM-urile sunt recunoscute ca având mai puține resurse și capacități decât întreprinderile mai mari, întreprinderile mici pot să se bucure de o anumită marjă de manevră în ceea ce privește documentația și păstrarea înregistrărilor. Gradul de libertate în acest stadiu este încă incert.

Guvernul britanic estima recent că doar 40% dintre întreprinderile cu mai puțin de 50 de angajați și doar 66% dintre firmele  cu 50-249 de persoane au fost conștiente de importanța GDPR.

 

5 motive serioase pentru aliniere

Iată cinci motive serioase pentru care IMM-urile trebuie să înțeleagă urgent acest regulament și să-și alinieze procesele cu acesta:

1. GDPR vine cu noi drepturi, deci noi obligații – În primul rând, GDPR oferă persoanelor noi drepturi asupra datelor lor personale. Teoretic, acum putem merge la o bancă sau la un supermarket ca să le cerem să ne șteargă datele din sistemele lor.  Teoretic, pentru că practice vom obține asta peste cel puțin 10 ani…

A, un drept real este acela de a cere mutarea datelor de la un furnizor de servicii la altul. Asta chiar se poate. De exemplu, mutarea dosarului de la un furnizor telco la altul. Dar asta nu înseamnă că vechiul furnizor ne va șterge datele.

2. Furnizorii sunt acum sub microscop – GDPR vine și cu noi responsabilități asupra procesatorilor de date. Dacă procesăm date în numele unui operator, trebuie să păstrăm instrucțiunile acestuia pentru a fi aliniați GDPR. Dacă fac o greșeală ca procesator, o fac pe barba mea și pot fi tras direct la răspundere.

3. Avem sau nu nevoie de DPO? – la nivel de IMM, evident că nu. Asta nu exclude recomandarea de a numi o echipa de proiect și un responsabil de proiect cu rol de coordonator. Sunt sarcini permanente, chiar și într-un IMM, precum ținerea evidențelor de procesare, consimțământ sau breșe, pe lângă ingrata sarcină de a prelua asimilarea politicilor interne în toate departamentele.

4. Angajații ca verigă slabă – studiile arată că cel puțin o treime din vulnerabilitățile datelor personale se datorează erorii personalului. Nu există nici un substitut pentru instruirea angajaților cu privire la responsabilitățile lor de bază în cadrul GDPR. În plus, asigurați-vă că specialiștii companiei dvs., cum ar fi comercianții, reprezentanții HR și membrii consiliului, primesc o instruire specifică referitoare la rolurile lor despre ceea ce trebuie să facă pentru a se conforma GDPR.

5. Trebuie să le spunem clienților ce facem cu datele lor – conform GDPR, clienții au dreptul de a fi informați – într-un limbaj clar – cu privire la ceea ce facem cu datele lor personale. Politica noastră de confidențialitate online trebuie să fie scrisă în limbaj simplu, spunând clienților despre locul unde obținem datele, ce facem cu ele și cu cine le împărțim. Dacă avem o pagină web pentru afacerea noastră, e musai să punem crezul nostru privind confidențialitatea pe site, în pagina Confidențialitate date personale.

Companiile mici sau specialiștii individuali care își asigură conformitatea GDPR beneficiază nu numai de procese de afaceri mai sigure și mai profesionale, ci și de un cert avantaj competitiv față de concurenții care nu au dat mare importanță prevederilor noului regulament. Conformitatea GDPR este o etichetă de încredere, loialitate și respect față de clienți și parteneri și față de datele personale pe care aceștia ni le încredințează.

Parte din acest conținut poate fi regăsit în articolul ”Am un IMM: cum pot deveni compatibil GDPR? ” publicat pe 16 iulie pe site-ul ittrends.ro și în revista IT Trends din iulie 2018.

Advertisements

About Radu Crahmaliuc
Independent IT&C analyst, GDPR advisor, digital transformation & Cloud computing evangelist, start-ups developer, eBooks author, freelancer, storyteller, events moderator & keynote speaker

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: