GDPR (Regulamentul General privind Protectia Datelor) va intra in vigoare pe 25 mai 2018, entitatile juridice care prelucreaza date cu caracter personal in activitatile lor avand mai putin de patru luni pentru a se conforma reglementarilor. Despre cele mai importante aspecte din acest proces am stat de vorba cu Sergiu Sechel, consulant pe partea de digitalizare si risk management in cadrul EY Romania.
GDPR aduce schimbari semnificative in ceea ce priveste protectia datelor personale in Europa, revolutionand tot ceea ce tine de prelucrarea acestora. Reprezentantul EY precizeaza ca prevederile vor trebui respectate de toate entitatile juridice de pe teritoriul UE, de la ONG-uri pana la institutii publice.
“Noul regulament impacteaza toate entitatile juridice de pe teritoriul Uniunii Europene, inclusiv ONG-uri, de aceea le spunem entitati, nu ne referim doar la companii, inclusiv institutiile publice vor fi impactate de GDPR. Practic, orice entitate care prelucreaza datele cu caracter personal”, precieaza Sergiu Sechel.
Procesul de prelucrare a datelor se refera la toate operatiile, respectiv: colectare, procesare, sortare, stocare, consolidarea datelor in siloaze, transferarea catre alte companii, etc. Toate acestea intra sub prevederile GDPR, indiferent ca vorbim despre datele propriilor angajati sau despre ale clientilor, coform precizarilor reprezentantului EY.
Citeste si:
GDPR va stopa colectarea inutila a datelor
sursa foto: igorstevanovic / Shutterstock.com
Sunt numeroase cazuri in care colectarea anumitor date personale, fie ca vorbim de inregistrarea pe un site sau inscrierea intr-o anumita campanie, este facuta intr-o cantitate mai mult decat necesara, entitatile respective cerand informatii care nu le aduc niciun beneficiu in ceea ce priveste desfasurarea activitatii. Aceste metode vor trebui sa dispara pana la intrarea in vigoare a GDPR, daca cei care sunt sub impactul prevederilor vor se bucure de un proces cat mai usor de conformare si de o scadere a riscurilor privind sanctiunile unei eventuale incalcari a regulamentului.
Citeste si:
Exista multe situatii in care companiile colecteaza o cantitate foarte mare de date cu caracter personal fara sa aiba o nevoie legimita in a le utiliza. Nu le ajuta cu absolut nimic sa stocheze datele respective, care, incepand cu 25 mai, vor reprezenta un risc pentru companie, in momentul in care GDPR va intra in vigoare. Fiecare data cu caracter personal va avea asociat un cost pentru ca, in momentul in care am un depozit de date cu caracter personal, trebuie sa ma asigur ca il administrez si protejez pentru a nu risca amendarea", precizeaza Sergiu Sechel. (foto stanga)
GDPR nu prevede un prag minim pentru angajarea ofiterului de date
sursa foto: SB_photos / Shutterstock.com
In urma intrarii in vigoare a GDRP, tot ce tine de prelucrarea datelor personale va trebui gestionat cu foarte mare atentie. Pentru realizarea acestui proces puteti numi un ofiter de protectia a datelor sau puteti opta pentru externalizarea serviciilor. In cazul in care optati ca pozitia de DPO(ofiter de protectie a datelor) sa fie ocupata de un membru din companie, consultantul EY prezinta o serie de recomandari de care ar trebui sa tineti cont pentru a va asigura ca atributiile vor fi indeplinite cat mai eficient si in conformitate cu prevederile GDPR.
"In mod normal, rolul cere independenta fata de orice alta pozitie de leadership din companie, pentru a limita conflictul de interese. Daca persoana desemnata detine o functie in cadrul altui departament, ar trebui, formal, sa renunte la obligatiile, drepturile si la responsabilitatile corespunzatoare acesteia. Rolul de DPO este vazut ca fiind similar cu rolul auditorului intern si, practic, trebuie sa existe caracterul de independenta. De asemenea, din punctul de vedere al organigramei, acest rol trebuie indeplinit de o persoana cu autoritate in cadrul companiei" a adaugat Sergiu Sechel.
Rolul ofiterului de date, inclusiv intr-o organizatie de mici dimensiuni, este de a asigura implementarea politicilor de securitate a informatiilor cu caracter personal la nivelul companiei si respectarea acestora. El trebuie sa fie interfata intre autoritatea de supraveghere si compania din care face parte si, in cazul unei brese in sistem, sa informeze in decurs de 72 de ore autoritatea de supraveghere. In cazul in care DPO-ul nu poate demonstra ca datele cu caracter personal au fost afectate in urma unui atac malitios, fata de care compania a facut tot posibilul sa se apere prin implementarea mecanismelor corespunzatoare, sanctiunea poata ajunge pana la 4% din cifra de afaceri totala anuala.
Citeste si:
GDPR: Costurile necesare pentru implementare
sursa foto: dockstockmedia / Shutterstock.com
Costurile pe care entitatile le vor suporta in ceea ce priveste alinierea la prevederile GDPR sunt influentate de volumul de date cu caracter personal si scopul cu care acestea sunt colectate.
Citeste si:
"In Romania, pe partea de evaluare a starii actuale a companiei, costurile sunt in jur de 200.000 de euro pentru o multinationala. Este vorba doar de evaluare, aici ne referim la costuri privind realizarea unui diagnostic din punct de vedere al cerintelor GDPR, in urma caruia stabilim gradul de conformare al companiei. In urma diagnosticului vedem unde se situeaza compania din punct de vedere al regulamentului intern, al cerintelor legislative, proceselor, tehnologiilor si al factorului uman fata de GDPR", a adaugat Sergiu Sechel.
Reprezentantul EY este de parere ca majoritatea multinationalelor si marile companii din Romania au inceput cam tarziu procesul de adaptare la prevederile GDPR, respectiv in vara anului trecut. La nivelul IMM-urilor, acesta nu are informatii privind starea lor de pregatire, insa e constient ca, odata cu apropierea termenului limita, riscul amenzilor ii vor face sa fie cat mai constienti de importanta alinierii la cerintele regulamentului.
Sursa foto: By gotphotos / Shutterstock.com
Calculator Salariu: Află câți bani primești în mână în funcție de salariul brut »
Te-ar putea interesa și:
