Australia, o țară non-UE, conștientizează impactul GDPR asupra mediului său de afaceri

 

 

Ion IORDACHE

Ion Iordache este managing director și fondator al companiei iQuality Services Pty. Ltd. din Melbourne, Australia, consultant și trainer pentru RQM Cert din Timișoara, România. 

 

Poate fi contactat la adresa: ion@ioniordache.com,

https://iqualityservices.com.au

Prin luna februarie 2017, în cadrul unui curs „Certified ISO/IEC 27001 Lead Auditor” organizat de iQuality Services la Melbourne le-am spus cursanţilor că în Europa a intrat în vigoare noul Regulament European General de Protecţia Datelor (GDPR) care se va aplica începând cu data de 25 mai 2018.

Așa am constatat că interesul lor pentru GDPR este destul de mare pentru că știau despre ce este vorba. La acea dată în Australia se luaseră deja primele măsuri de informare asupra cerințelor GDPR și chiar erau propuse modificări legislative semnificative privind securitatea datelor personale. În Australia există, încă din 1988, o legislație specifică privind confidențialitatea („The Privacy Act”) care este fundamentul reglementării vieții private în Australia. Anul acesta, „The Privacy Act” a fost modificat și a fost stabilit un regim de notificare obligatorie a încălcărilor de date „eligibile”. Poate că nu a fost chiar întâmplătoare introducerea acestor modificări în „House of Representatives” la 19 octombrie 2016. GDPR a intrat în vigoare pe data de 25 mai 2018.

Odată cu intrarea în vigoare a GDPR, companiile australiene care de regulă au adoptat o abordare mai transparentă și destul de conciliantă față de confidențialitatea datelor personale sunt puse în fața unei noi provocări atât datorită prevederilor proprii legislații cât și a GDPR. Autoritatea de reglementare australiană, responsabilă cu aplicarea „The Privacy Act”, OAIC (Office of the Australian Information Commissioner) a publicat, în luna mai 2017, un Ghid foarte bine documentat cu noi orientări pentru companiile australiene cu privire la cerințele GDPR în care se precizează, cu exemple și tabele comparative, că GDPR include cerințe care seamănă cu cele din „The Privacy Act” și sunt prezentate măsurile suplimentare ce urmăresc promovarea unor practici transparente de gestionare a informațiilor și a responsabilităților companiilor în ceea ce privește manipularea datelor.

OAIC a făcut o publicitate susținută GDPR și a încurajat companiile private de orice mărime ar fi ele și entitățile din sectorul public să-și revizuiască practicile de confidențialitate și nivelul de respectare a obligațiilor lor în conformitate cu GDPR și să ia măsuri immediate pentru a se asigura că practicile lor de colectare și manipulare a datelor personale respectă Regulamentul, înainte de data punerii sale în aplicare.

Pentru toate organizațiile australiene, prelucrarea datelor despre angajați constituie un motiv de îngrijorare. Conform legislației australiene de confidențialitate, există o serie de scutiri pentru unii angajatori din sectorul privat care gestionează informațiile personale ale angajaților dar nu există o astfel de exceptare în cadrul GDPR. Prin urmare, orice organizație australiană care deține sau procesează datele angajaților săi rezidenți din UE trebuie să-și revizuiască, imediat, practicile de prelucrare a datelor referitoare la aceștia, să determine eficiența practicilor lor de informare și de securitate și să pună în aplicare măsuri pentru a asigura conformitatea cu GDPR.

Un alt motiv de îngrijorare pentru companiile australiene este acela generat de valorile uriașe ale amenzilor pentru încălcarea GDPR. Deși GDPR ar putea să nu se afle pe lista de priorități pentru multe companii australiene, acestea ar putea primi amenzi foarte mari dacă încalcă GDPR după intrarea sa în vigoare la 25 mai 2018. Guvernul australian a cerut tuturor departamentelor guvernamentale și organismelor publice să-și revizuiască în mod corespunzător practicile de prelucrare a datelor din UE, inclusiv cu furnizorii terți, pentru a evalua expunerea acestora. O cerință obligatorie pentru toate autoritățile publice australiene: în cazul în care activitățile de prelucrare ale unei autorități publice intră sub incidența articolului 3 din GDPR, pe lângă obligațiile sale generale, există, de asemenea, obligativitatea de numire a unui Data Protection Officer (DPO). La o conferință găzduită în luna mai 2017 de OAIC, The Privacy Commissioner, Timothy Pilgrim, a subliniat în mod expres importanța GDPR pentru companiile australiene și a avertizat că OAIC va urmări cu atenție conformarea acestora cu GDPR.

Există însă și o veste bună. Având în vedere asemănările dintre GDPR și „The Privacy Act” (în special existența în cadrul acestuia a principiilor australiene de confidențialitate) privind informațiile personale și manipularea datelor personale, companiile australiene ar putea avea deja unele măsuri impuse în cadrul GDPR.

Avantajul Australiei, fața de foarte multe alte țări este acela că are o industrie și o cultură a dezvoltării profesionale continue foarte bună. Companiile private și toate organizațiile guvernamentale privesc formarea profesională continuă ca pe o investiție extrem de rentabilă pentru care alocă resurse importante. Acesta este unul din motivele principale pentru care o companie australiană nu va desemna pe cineva pe o funcție așa de importantă ca DPO fără să-i asigure acestuia accesul la o formare de calitate și nici nu va angaja prea ușor pe cineva care doar pretinde că știe ce trebuie să facă chiar dacă va scoate la interviul de angajare un dosar de diplome şi certificate. Am observat acest lucru în cei câțiva ani de când compania mea, iQuality Services, oferă servicii de training și consultantă pe piața din Australia unde cursanții, niciodată, nu mi-au dat impresia că sunt dispuși să plătească pentru a obține doar o hârtie.

În ultimii doi ani, datorită informărilor sistematice pe care OAIC și alte agenții guvernamentale le fac, a crescut semnificativ interesul pentru două cursuri din portofoliul nostru: ”PECB Certified ISO/IEC 27001 Lead Implementer” şi ”PECB Certified Data Protection Officer”. Datorită interesului pieței, am creat o serie nouă de cursuri de nivel avansat: ”Advanced Implementation – Information Security Management System based on ISO/IEC 27001:2013” şi ”Advanced Implementation the European Union’s General Data Protection Regulation (GDPR) Requirements”.

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 58-60.

 

 

Advertisements

About Radu Crahmaliuc
Independent IT&C analyst, GDPR advisor, digital transformation & Cloud computing evangelist, start-ups developer, eBooks author, freelancer, storyteller, events moderator & keynote speaker

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: