GDPR: provocarea anului 2018 pentru Organizațiile din România
Despre GDPR
Regulamentul European privind Protecția Datelor (GDPR) stabilește principii și măsuri de protecție a datelor cu caracter personal ale cetăţenilor Uniunii Europene pentru companiile și instituțiile care procesează astfel de date. GDPR reprezintă provocarea organizațiilor publice și private din următoarele luni datorită complexitatii cerințelor introduse.
Orice activitate instituțională desfășurată la nivelul Uniunii Europene ce procesează date cu caracter personal cu privire la angajați, clienți sau oricare alte entități cu care interacționează trebuie să se alinieze la cerințele GDPR. Așadar, orice instituție publică sau privată de pe teritoriul Uniunii Europene sau din afara teritoriului Uniunii Europene (dacă manipulează date cu caracter personal ale unor cetățeni ai Uniunii Europene) care colectează, prelucrează și/sau stochează date cu caracter personal trebuie să răspundă prevederilor GDPR.
Neaplicarea prevederilor GDPR coroborată cu apariția unor incidente de securitate de natură să afecteze datele cu caracter personal poate atrage pentru instituții amenzi însemnate de până la 20 de milioane de euro sau 4% din cifra de afaceri anuală globală (în funcție de impactul incidentului produs).
Ce trebuie făcut?
GDPR este poate cel mai complex și controversat regulament privind protecția datelor cu caracter personal emis până în prezent de Comisia Europeană. Regulamentul duce la un nivel superior regulile de protecție a datelor, impactând toate organizațiile ce prelucrează date cu caracter personal. În linii generale, organizațiile trebuie să realizeze activități precum:
• Efectuarea unei analize a datelor cu caracter personal deținute în aplicațiile informatice
• Modificarea unor procese operaționale pentru a respecta prevederile GDPR (cum ar fi: obținerea consimțământului persoanei, notificarea Autorității Naționale și a persoanelor vizate în cazul unui incident de securitate)
• Imbunătățirea securității sistemelor informatice, pentru a asigura un nivel ridicat de protecție a datelor cu caracter personal
• Implementarea unui proces de evaluare a impactului procesării datelor cu caracter personal, precum și efectuarea unor analize de risc
• Elaborarea unor politici și proceduri pentru prelucrarea datelor cu caracter personal, precum și o serie de proceduri suport pentru reglementarea interacțiunii cu persoana vizată, în cazul în care aceasta își exercită drepturile prevazute de GDPR
• Desemnarea unui ofițer responsabil cu protecția datelor cu caracter personal
Având în vedere multitudinea de cerințe, cea mai bună abordare pentru organizațiile care își doresc o aliniere completă la cerințele GDPR este să își ia un consultant specialist care să îi treacă fără dureri de cap prin acest proces.
Situatia din România
GDPR a fost adoptat în data de 25 mai 2016, urmând să intre în vigoare începând cu 25 mai 2018. Așadar, un termen de 2 ani a fost acordat, de Comisia Europeană, pentru ca toate entitățile vizate să se pregătească în vederea alinierii la noile prevederi de protecție a datelor cu caracter personal.
La prima vedere, pare a fi suficient timp pentru alinierea la cerințele unui regulament complex, însă realitatea de pe plaiurile mioritice a dovedit contrariul. Au mai ramas 3 luni până la intrarea în vigoare a Regulamentului, și încă sunt foarte multe organizații, în România, care nu au luat nicio inițiativă în acest sens.
Situația în țara noastră se poate încadra, în acest moment, pe 3 coordonate, în ceea ce privește implementarea măsurilor impuse de GDPR:
• companii care cunosc măsurile impuse de GDPR și au inceput deja implementarea
• companii care cunosc prevederile GDPR, dar încă nu fac nimic în acest sens
• companii care nici măcar nu cunosc prevederile GDPR
Situația nu stă mai bine nici la nivelul celorlalte companii din spațiul European, numeroase organizații necunoscând încă modul în care noile reglementari GDPR le vor afecta activitatea. Un sondaj de opinie efectuat, anul trecut, de Institutul de cercetări de piață IDC, asupra a 700 de companii europene arată că 25% dintre acestea au afirmat că nu cunosc prevederile GDPR, iar mai mult de jumătate (52%) nu pot evalua impactul cerințelor impuse de GDPR asupra activității lor.
Introducerea unor noi reguli privind protecția și confidențialitatea datelor personale plasează companiile din România în fața unor provocări majore de conformitate. Cunoașterea principiilor de bază privind protecția datelor personale, din etapa de colectare până în cea de stocare, devine o obligație pentru operatorii de date cu caracter personal. Cu toate că unele cerințe de protecție a datelor cu caracter personal erau deja reglementate de Legea 677/2001 (de exemplu: dreptul la informare, dreptul de acces, dreptul de rectificare, dreptul la opoziție), totuși majoritatea companiilor se consideră nepregătite să implementeze cerințele suplimentare impuse de GDPR.
Organizațiile ce operează în industrii obișnuite cu reglementări specifice securității informației (de ex. multinaționale de tipul bănci, societăți de asigurări, companii din industria telecom etc.) cunosc într-o măsură mai ridicată impactul GDPR și au început deja să implementeze cerințele Regulamentului, fiind sprijinite, în general, de grupul din care fac parte.
Nu același lucru se poate spune despre firmele mici și mijlocii autohtone, care se plâng că nu găsesc un sprijin concret din partea autorităților pentru implementarea noului regulament de protecție a datelor cu caracter personal.
Consiliul Național al Întreprinderilor Private Mici și Mijlocii din Romania trage un semnal de alarmă cu privire la lipsa programelor de consiliere și susținere a IMM-urilor pentru implementarea prevederilor GDPR și solicita Ministerului pentru Mediul de Afaceri și altor autorități române să ia masuri urgente astfel încât aceste societăți să evite încălcarea noului Regulament. Realizarea unui ghid concret pentru IMM-uri și a unor campanii de informare adaptate specificului IMM-urilor sunt considerate de industrie măsuri urgente pe care autoritățile competente ar trebui să le adopte. Acestea sunt companiile din categoria celor care cunosc prevederile GDPR, dar nu fac nimic în sensul alinierii la Regulament deoarece nu au suportul necesar.
Un alt caz îl reprezintă organizațiile din mediul public care, in general, deși cunosc importanța implementării GDPR, nu au făcut nimic până acum pentru a se alinia la cerințele Regulamentului. Lucru cu atât mai grav cu cât acestea procesează date cu caracter personal pe o scară largă, iar implementarea GDPR într-o astfle de organizatie este un proces foarte complex și de durată.
În categoria companiilor care încă nu cunosc prevederile GDPR se încadrează companiile care fie nu au acordat importanță acestui subiect, fie nu au avut acces la informație.
Lipsa unei coordonări concrete din partea autorităților competente și gradul mare de descentralizare al organismelor profesionale din
Romania creează dificultăți în mobilizarea și implementarea măsurilor GDPR.
Cu toate că Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a publicat pe site-ul său o serie de materiale informative ce tratează cerințele noului regulament de protecție a datelor cu caracter personal (cum ar fi: pliante de informare, broșuri, ghid privind responsabilul cu protecția datelor, ghid orientativ de aplicare a GDPR destinat operatorilor), totuși până acum nu au fost elaborate niște norme concrete de aplicare a cerințelor GDPR, mapate pe specificul legislației naționale. De asemenea nu s-a stabilit cuantumul amenzilor în funcție de gravitatea faptelor și a situațiilor în care pot să apară breșe de securitate a datelor. Știind doar de plafonul maxim, de 4% din cifra de afaceri globală, companiile nu știu la ce să se aștepte în cazul unui control din partea Autorității.
Concluzie
GDPR trebuie pus neapărat pe agenda managementului din orice organizație, indiferent de mărime. Regulamentul pune în prim plan organizarea activităților ce țin de protecția datelor personale. Astfel, managementul trebuie să acorde o atenție mai mare modului în care colectează și prelucrează date personale, trebuie să desemneze oameni cu atribuții speciale în acest sens și să ia toate măsurile rezonabile pentru a se alinia la noile cerințe de securitate a datelor.
Este GDPR o provocare? Da, însă cu siguranță nu un obstacol de nedepășit.
Smart Alliance vă poate oferi pachetul complet de servicii și sisteme informatice pentru obținerea conformității cu acest Regulament European. Ne puteți contacta la adresa de e-mail cosmin.macaneata@omega-trust.ro sau la contact@smartalliance.ro