VIDEO Ce trebuie să ştie firmele despre noul regulament european de protecţie a datelor. Primii paşi de implementare
Raluca Abrihan

VIDEO Ce trebuie să ştie firmele despre noul regulament european de protecţie a datelor. Primii paşi de implementare

Thumbnail

În aproximativ patru luni va intra în vigoare ordonanţa EU GDPR (General Data Protection Regulation), iar firmele ar trebui să înceapă să lucreze la modificările cerute de acest regulament. Am stat de vorbă cu specialişti IT care au dezvoltat un soft care ajută la aplicarea noilor reguli de protecţie a datelor, pentru a afla care sunt firmele vizate şi cum trebuie să se pregătească ele pentru a se feri de amenzi foarte mari.

Termenul limită pentru introducerea noului regulament este 25 mai 2018, iar acesta va fi cea mai strictă reglementare în materie de protecție a datelor personale introdusă vreodată de Uniunea Europeană, unul din obiectivele ei fiind de a întări și de a da o formă unitară modalităților de colectare a datelor online în cadrul Uniunii.

Amenzile anunţate pentru firmele care nu aderă la această nouă legislaţie pot ajunge până la 20 milioane de euro sau 4% din cifra de afaceri.

Cine trebuie să aplice noul regulament

Sunt mai multe categorii de firme care trebuie sa aplice acest regulament. Firmele mari, cele mai multe au început deja pregătirea proceselor de auditare de GDPR şi de aplicare a regulamentului. În firmele medii şi mici lucrurile sunt încă la început, multe, cel mai probabil încă nu ştiu despre ce este vorba în regulament.

Primul pas - ar trebui realizată o analiza a business-ului prin care să se ştie care sunt toate sursele de date personale, intrările lor, ieşirile, locul în care sunt stocate. - a explicat, pentru StartupCafe, Cristian Badea, specialist IT şi fondatorul unui startup ce dezvoltă un soft care să ajute firmele în implementarea GDPR.

Vezi aici povestea acestui startup şi cum funcţionează softul creat de el

Prin date cu caracter personal ne referim la orice informaţie despre o persoană - date despre viaţa personală, profesională sau publică, de la date de contact (numere de telefon, adrese de email), până la preferinţe de cumpărături pe care le au site-urile şi magazinele online despre clienţi, date personale pe care le deţin angajatorii (date din buletin, din CV), informaţii medicale etc.

Acest regulament se adresează cam tuturor firmelor. Orice firmă care colectează, stochează, distribuie informaţii intră sub incidenţa acestui regulament. Există un număr extrem de limitat de firme care să nu fie nevoite să aplice GDPR. Drept urmare nu contează dimensiunea firmei.

Sunt, totuşi, câteva prevederi în regulament care vizează doar companiile mai mari, spre exemplu, cele cu pese 250 de angajaţi trebuie să angajeze o persoană special pentru a se ocupa cu implementarea prevederilor regulamentului – trebuie să aibă un angajat pe poziţia de DPO (data protection officer) – spun specialiştii IT.

Fiecare firmă, în parte, va trebui să aplice acest regulament ţinând cont de activitatea pe care o desfăşoară.

Cele mai mari provocări în aplicarea regulamentului:

  1. Volumul de date care trebuie procesat şi colectarea informaţiilor – atunci când ai de colectat un volum mare de date, metoda principală este realizarea unui document (poate să fie un Excel sau un Word) cu mai multe întrebări. Se face o listă de destinatari, se trimite la un anumit număr de persoane (20-30, depinde de dimensiunea firmei şi de numărul de angajaţi, departamente, sucursale). Aceşti angajaţi primesc documentul, lucrează la răspunsuri o perioadă destul de îndelungată. Trimit documentul înapoi, iar un responsabil se apucă să centralizeze. De cele mai multe ori aici începe un dute-vino pentru că se constată că unii au uitat să completeze anumite detalii sau au scris ceva greşit. Şi aici pot apărea primele probleme – explică Mihai Ghiţă, specialist IT şi co-fondator al Sypher.

  2. Actulizarea registrului - după ce ai colectat informaţiile şi ai realizat un document cu toate aceste date centralizate (documentul este obligatoriu, potrivit regulamentului – articolul 30, pentru firmele cu peste 250 de angajaţi) aceste informaţii trebuie actualizate permanent pentru că lucrurile în firmă se schimbă constant – vin oameni noi, pleacă etc.

  3. Controlul asupra documentaţiei - modul în care rămai la curent cu toate aceste schimbări/actualizări poate să fie destul de complicat. Oamenii odată ce au scăpat de munca iniţială de realizare a registrului, probabil că abia aşteaptă să nu mai audă de el. Dacă procesul a fost complicat, va fi greu să faci faţă şi actualizărilor. Atunci când vine un control tu (patron sau angajat responsabil) va trebui să ştii dacă toate datele sunt la zi.

Am discutat aceste probleme după ce am discutat cu cei care trebuie să aplice regulamentul şi cu consultanţii – explică dezvoltatorii Sypher.

Costuri de implementare ale GDPR

Sunt costuri pe care firmele nu le-au prevăzut în urmă cu câţiva ani, pe care acum trebuie să le ia în considerare. Aceste costuri sunt greu de estimat pentru că diferă de la fiecare firmă în parte. Evident că firmele mici nu vor avea aceleaşi cheltuieli ca marile companii. Multinaţionalele pot ajunge chiar la miliarde de euro cheltuieli doar cu implementarea acestui regulament, ele au nevoie de consultanţi care să analizeze sistemul, partea legislativă etc. Tocmai de aceea e bine să mai existe soluţii software care să ajute să mai scazi din timpul şi cheltuielie implementării.

O analiză publicată pe StartupCafe, arată că investiţia necesară în aducerea site-ului și a sistemelor interne în conformitate cu reglementările privind politica de notificare a vizitatorilor asupra folosirii cookie-urilor (apărută în 2014) estimau cheltuieli de circa 900 de euro. Dar, atenţie, GDPR presupune gestionarea unei baze mult mai complexe de date, drept urmare cheltuieli ar putea fi mai mari.

Importanţa regulamentului, cu câteva exemple concrete

Acest regulament clarifică foarte multe lucruri pentru consumatori. Avem mult mai multe drepturi legate de datele noastre personale, sau devenim mai conştienţi de drepturile pe care le aveam şi până acum.

Consumatorii trebuie să fie informaţi explicit de către cei care colectează orice tip de date, de colectarea şi felul în care sunt folosite aceste date.

Dacă primit un telefon de la o oarecare agenţie pentru oferte sau sondaje noi trebuie să primim şi justificarea prin care aceştia au intrat în posesia numărului nostru de telefon. Iar când o firmă obţine numărul de telefon de la un client, cu acordul lui, el trebuie să informeze clientul că va fi contactat la un moment dat pentru a i se prezenta oferte, în scop de marketing.

Mai apare şi avantajul portabilităţii. Dacă eu, consumatorul folosesc un serviciu şi vreau să mă mult la o altă companie pentru acel serviciu, dar asta ar înseamnă să pierd acel istoric, cu preferinţe şi alte date, portabilitatea mă poate ajuta să obţin acel istoric de la furnizorul de servicii şi să îl mut la noul furnizor la care mă abonez. Un exemplu în acest sens sunt serviciile de muzică prin streaming – dacă eu vreau să mă mut de la Deezer, dacă ma duc pe Pandora sau Spotify, pierd tot istoricul. Teoretic, acum, potrivit acestui regulament pot să merg la Deezer să imi dea datele despre mine în format electronic, iar dacă celălalt furnizor le acceptă ar putea să le porteze la noul serviciu.

Acestea sunt avantaje pentru clienţi, dar şi companiile au beneficii ale acestui regulament. Unul dintre avantaje este că ştii mai bine ce se întâmplă cu datele.

Datele, în ziua de azi, sunt o valoare, o companie fără date nu poate să existe. Portabilitatea are un avantaj şi pentru companii pentru că pot aduce prin portabilitate date pe care ei nu le au. Un bun exemplu aici sunt firmele de asigurări, care pot astfel să facă oferte mai bune clienţilor şi să obţină noi clienţi – explică dezvoltatorii Sypher.

Cum se vor adapta firmele din România

Întrebarea este şi cum se va adapta sistemul. Fiecare ţară din UE va fi nevoită să aibă capacitatea de face verificări GDPR.

La noi, ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal – autoritatea care va fi responsabilă de verificarea aplicării noului regulament) ar trebui să aibă resurse suficiente pentru a realiza auditul pe această zonă şi oameni pregătiţi care să înţeleagă fenomenul.

Din punct de vedere al firmelor, partea de aplicare a GDPR va deveni un lucru cât se poate de normal, de obişnuit. În momentul în care îţi construiesti o firmă, un proces, un sistem va trebui să îţi pui imediat întrebarea “Ce fac cu GDPR?” şi tot ce presupune acest regulament.

Firmele vor evolua, cu siguranţă. Peste un an în firme vor fi mult mai mulţi specialişţi pe parte de gestionare a datelor personale, mult mai bine pregătiţi.

În momentul în care se vor auzi de amenzi pe zona asta, nu neapărat de la noi pentru că cred că lucrurile se vor face cunoscute din afară spre interior, de acolo încolo toată lumea va deveni mult mai conştientă de importanţa implementării acestui regulament - sunt de părere cei doi specialişti IT.

 

Descarcă aici ghidul de aplicare a regulamentului datelor personale

Citeşte şi:

Ce au de făcut proprietarii de site-uri şi magazine online înainte de intrarea în vigoare a noului regulament european de protecţie a datelor

Parallax

Vizualizari
10976
Conţinut
Parerea ta despre articol
Adauga comentariu

- Ultimele știri -

 

  Ultimele știri

 

Cookie Settings