Analiza GDPR (2): 10 SFATURI PENTRU MANAGERI – NU LĂSAȚI PE MÂINE…

Au trecut 6 luni de la intrarea în vigoare a noului Regulament UE 679 și aproximativ un an de când alinierea GDPR a devenit un subiect extrem de discutat. După o perioadă extrem de agitată, care a culminat cu avalanșa de declarații și solicitări de consimțământ de la sfârșitul lunii mai, lucrurile au intrat treptat, într-o stare de acalmie. Asta poate fi BINE, dacă presupunem că oamenii au înțeles despre ce e vorba și au început demersurile de aliniere. Dar realitatea ne arată că presupunerea este FALSA. Realitatea este alta și ASTA NU E BINE.   

Totul pleacă de la manageri

Demararea unor proiecte de aliniere este legată ombilical de o decizie managerială. Nimic nu se poate face dacă managementul nu este convins de importanța subiectului. Dar înțelegerea importanței nu este totul. Managementul trebuie să gestioneze demararea activităților, să stabilească o echipă, să delege un responsabil și, mai ales să planifice resursele. Adică să se implice.

Orice analiză sau audit de business care constituie prima fază în derularea unui proiect de asigurare a conformității are în vedere nivelul de implicare managerial. Sunt managerii implicați direct, participă la discuții sau au delegat o persoană de încredere care să se ocupe de tot?

Ce situații am întâlnit în realitate? Toate demersurile de implementare realizate până acum, în majoritatea cazurilor,  au fost impulsul unei presiuni externe și destul de puțin și de rar rezultatul unei convingeri reale. Din păcate, încă sunt mulți manageri care consideră GDPR:

  • o mare prostie,
  • un simplu exercițiu birocratic,
  • o amenințare cu penalități uriașe care nu vor periclita niciodată propria organizație,
  • mulți bani aruncați degeaba.
  • o bătaie de cap în plus, care mai poate să aștepte
  • o mare cacealma, nimeni nu a fost amendat pana acum
  • niciunul dintre amici sau parteneri nu a făcut nimic pentru asta și nu li s-a întâmplat nimic
  • cei care au angajat o firmă de consultanță a dat banii degeaba pentru că au fost nevoiți să facă totul singuri…
  • ceva inutil. Eu nu lucrez decât cu date de business. Astea sunt date publice, nu personale

Și lista ar putea continua…

Ce putem face

Oameni buni, niciodată nu e prea târziu. Oricând puteți începe exercițiile de aliniere. Iată câteva sfaturi:

  1. GDPR NE PRIVEȘTE PE TOȚI. Nu e o prostie, o găselniță a politicienilor sau avocaților ca să ne mai ia niște bani. Orice organizație, asociație, sau persoană fizică autorizată exercită o activitate în care ajunge să dețină niște date personale ale clienților, partenerilor sau angajaților E OBLIGATĂ să se supună GDPR.
  2. MĂRIMEA NU CONTEAZĂ. Fie că avem o companie cu 10, 50 sau peste 250 de angajați, fie că suntem o microîntreprindere, un ONG sau o asociație profesională, fie că administrăm o asociație de locatari sau că suntem un consultant independent, avocat, stomatolog sau blogger specializat, AVEM NEVOIE DE GDPR. Desigur că nu toți avem nevoie de toate procedurile și politicile. Dar există un nucleu de activități și măsuri care sunt absolut obligatorii pentru orice fel de organizație. Nu avem cum să evităm asta. TREBUIE SĂ FIM PREGĂTIȚI.
  3. GDPR ÎNSEAMNĂ ASUMAREA RĂSPUNDERII. Suntem răspunzători pentru datele noastre personale. Pentru angajații noștri. Pentru clienții noștri. Pentru partenerii noștri. Nu facem asta cu gândul la inspecțiile Autorității și nici ca pe o simplă formalitate birocratică. O facem pentru binele nostru și al comunității în care trăim și activăm. O FACEM CA RESPONSABILI PENTRU RESPONSABILITATEA NOASTRĂ.
  4. GDPR ESTE MAI MULT DECÂT UN SIMPLU PROIECT. Mai mult decât o implementare de soluții IT. Mai mult decât o revizuire birocratică a documentelor dintr-o altă perspectivă birocratică. Este o acțiune asumată, documentată și permanentă care presupune luarea de decizii, elaborarea de politici, adoptarea de proceduri, dar mai ales o acțiune de echipă, în care avem o triplă implicare: OAMENI, TEHNOLOGIE, PROCESE.
  5. GDPR ESTE O CERINȚĂ PERMANENTĂ. Nu este un simplu hei-rup, o activitate punctuală sau o implementare de proceduri după care cineva îți dă o diplomă. Este un exercițiu permanent, o cerință obligatorie de business pentru întregul ciclu de viață al uni afaceri. Ca să păstrăm un nivel optim de conformitate trebuie să acționăm continuu, să rămânem între anumiți parametri.

Iată un exemplu pe care îl folosesc des în discuțiile din proiecte sau de la ședințele de instruire: Obținerea conformității GDPR poate fi comparată cu pregătirile de decolare pe care le face echipajul unei aeronave. Pregătim instrucțiunile de zbor, verificăm echipajul, consultăm aparatura de bord și demarăm procedurile de decolare. Dar menținerea conformității GDPR pe termen lung trebuie comparată cu zborul propriu-zis. Cu activitățile absolut necesare pentru menținerea la un plafon de 11000 de metri. Nu ne permitem sa greșim. Chiar dacă se setează pilotul automat, cineva tot trebuie să vegheze și să știe în permanență ce este de făcut.

  1. GDPR ESTE O INVESTIȚIE ÎN EFICIENȚĂ. Nu sunt bani aruncați. Nimeni nu ne obligă să facem toate achizițiile dintr-o dată. O analiză de risc poate ajuta la crearea unor planuri de remediere gradată a eventualelor surse de incidente legate de pierderea de date personale. Ne concentrăm pe ce e mai important acum și facem un efort. Un buget alocat pentru viitorul exercițiu financiar ne va ajuta la păstrarea echilibrului balanței. Sunt multe posibilități de realocare a unor bugete în momentul în care am devenit conștienți că E MUSAI NEVOIE DE ASTA.
  2. INSTRUIȚI-VĂ OAMENII. Instruirea nu este o rușine. Este o nevoie permanentă. Nu înțelegeți exact despre ce e vorba și nu aveți timp să vă bateți capul. Participați la o ședință de instruire GDPR de una sau două zile. Sunt deja zeci de cursuri care oferă asta. O puteți face și online, de la birou sau din fotoliul de acasă. Veți vedea despre ce e vorba. Veți înțelege de ce e important. VEȚI REALIZA CE RESPONSABILITĂȚI AVEȚI.
  3. PREGĂTIȚI-VĂ UN SPECIALIST ÎN PROTECȚIA DATELOR. Chiar dacă legea nu vă obligă să angajați sau să numiți un DPO, multe aspecte legate de adoptarea GDPR reclamă competențele unui om care a parcurs o instruire de DPO. Nu așteptați ca să se rezolve problema certificării. Nu mai este timp pentru așteptare. Nu aveți nevoie de diplome, ci de (cel puțin) un om care să știe de unde să înceapă, cu cine să înceapă și ce e de făcut.
  4. AVEM NEVOIE DE CULTURĂ GDPR. Asta înseamnă respectul pentru date. Instruirea permanentă a angajaților. Testarea eficienței sau efectivității procedurilor existente. Adaptarea la schimbare. GDPR va suferi modificări în timp. Verificarea conformității cu normativele conexe precum e Privacy sau NIS. Conformitatea GDPR devine o permanență, la fel ca regulamentele de ordine interioară, protecție împotriva incendiilor sau măsurile de evacuare în caz de calamități naturale. Protejați-vă datele! Scrieți un postit-ul lipit pe ușă unde scrie: ”stinge lumina!”, ”verifică gazele!” sau ”activează alarma!”
  5. GDPR ESTE O OPORTUNITATE, NU O CALAMITATE. Priviți eforturile de aliniere ca pe o investiție în eficientizarea activităților. Ca pe un prim demers în transformarea digitală a organizației. Ca pe o etichetă de încredere față de angajați, clienți și parteneri.

Depinde doar de noi. Este responsabilitatea noastră ca manageri. Conformitatea GDPR nu se poate asigura fără implicarea noastră și a  întregii organizații. De noi depinde cum aplicăm procedurile recomandate de un consultant. De noi depinde cum asimilăm politicile și cum ne asigurăm că oamenii le și respectă. De noi depinde sănătatea și eficiența afacerii noastre. De noi depinde cum putem transforma conformitatea într-un avantaj competitiv.

 

Advertisements

About Radu Crahmaliuc
Independent IT&C analyst, GDPR advisor, digital transformation & Cloud computing evangelist, start-ups developer, eBooks author, freelancer, storyteller, events moderator & keynote speaker

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: